Перейти к содержанию

Помощь в расшифровке файлов

Равиль.М
 Поделиться

Рекомендуемые сообщения

Равиль.М

Равиль.М

Опубликовано
Опубликовано

Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил

FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar

safety

safety

Опубликовано
Опубликовано (изменено)

KES был установлен на пользовательских ПК на момент шифрования?

 

Судя по обнаружениям в KES. это PROTON. Возможно, вариант Shinra.

Цитата

Вчера, 15.04.2025 16:36:51    C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\Win32-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор
Вчера, 15.04.2025 16:36:54    C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\x64-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор

Если эти файлы попали в карантин, восстановите данные файлы из карантина, заархивируйте с паролем virus, загрузите на облачный диск, добавьте ссылку на скачивание в ЛС или в ваше сообщение.

(затем данные файлы можно удалить совсем)

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Цитата

HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [1] powershell.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [2] powershell_ise.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [3] ServerManager.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [4] eventvwr.msc
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [5] eventvwr.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [6] mstsc.exe

 

Изменено пользователем safety
Равиль.М

Равиль.М

Опубликовано
  • Автор
Опубликовано (изменено)

KES был установлен на пользовательских ПК на момент шифрования?

Ответ: Был установлен, не было лицензии, был истекшим

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Ответ: Нет, не я сам,возможно предыдущий админ.

Изменено пользователем Равиль.М
safety

safety

Опубликовано
Опубликовано

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

Равиль.М

Равиль.М

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?


Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

После шифрования продлили лицензию и сканировали.

В карантине они есть, при восстановлении сам вирус stub.exe Антивирус сразу блочит - не дает скопировать, отключать Антивирус и перекинуть не хватает смелости.

safety

safety

Опубликовано
Опубликовано (изменено)

Временно отключите защиту, или добавьте папку hi (C:\Users\UserRDP35\Desktop\hi) временно в исключение антивируса.  После архивирования с паролем можно файлы удалить, исключение так же удалить.

Файлы сами по себе не запускаются после восстановления из карантина. Или хотя бы напишите хэши указанных файлов. В карантине KES должны быть указаны хэши удаленных файлов.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам FRST, можно сделать вывод, что запуск шифровальщика был не на файловом сервере, а на тех двум устройствах, связанных с данными пользователями:

C:\Users\UserRDP37

C:\Users\UserRDP35

где было обнаружение тел шифровальщика (Stub.exe)

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nae
      Зашифрован терминальный сервер 1С
      Автор Nae
      Addition.txtFRST.txt
      Система нормально запускается, интересует только восстановление баз 1С.
      Спасибо!
      файлы и записка.rar
    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
    • Pexorka
      Зашифровали файлы
      Автор Pexorka
      Добрый вечер! Сегодня утром обнаружили что на сервере зашифрованы все файлы и созданы 2 новых тома А и В. прикрепляю зашифрованные файлы и требования выкупа, пароль архива virus. Прошу помочь в расшифровке, заранее спасибо !
      Addition.txt FRST.txt Helper.zip
    • vladimir_kornienkov
      Нужна помощь с расшифровкой файлов
      Автор vladimir_kornienkov
      Добрый день, в 2:00 ночи были зашифрованы все файлы на сервере. Windows 2008 R2 😃 да да, он еще существует
       
      Есть письмо с требованием:

      Warning: Your files have been stolen and encrypted. 
       
      If you want your files back, contact us at the email addresses shown below: 
       
      sembekker@aol.com 
       
      Telegram: @decrypt_yourfile 
       
      # In subject line please write your personal ID 
      ID: 3EAB3BB6E939ECF31504E5DC8AE33F61
       
       
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder 
      regularly to ensure you do not miss our response. 
       
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours, 
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.) 
      and send your message again using the new email address.
       
      Что удалось на яндексить по этому шифровальщику:
       
      Есть ссылка на гит с этой почтой и телегой: https://github.com/rivitna/Malware/blob/main/Proton/attackers.txt
       Так же, по тому что я увидел на сервере, был влом аккаунта Администратор, в папку моя музыка был закинут архив под название zip и в нем есть содержимое: архив загружен, ссылка удалена
    • SerGUNt
      просим помощи с шифровальщиком lsjx
      Автор SerGUNt
      Здравствуйте.
      Взломали компьютер по RDP, зашифровали файлы. Требуют денежку, в текстовых файлах во всех папках раскидали этот файл с контактами. все файлы имеют такой вид: file.[reopening2025@gmail.com].lsjx
      Пытался просканировать FRST ,но её вышибало (запускалась и при нажатии сканировать закрывалась), пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал. (кроме его ничего не нашлось, я и ничего лишнего не лечил , только из самой памяти).
      Все данные прикрепляю.
      Так же на рабочем столе есть один не зашифрованный exe файл с названием (WinScan2PDF.exe), что мне показалось странным и я его запаковал на всякий случай как вирус с паролем virus (всё как по мануалу).
      Будем благодарны если рассмотрите мою ситуацию и спасёте файлы.
      В архиве file.7z файлы с примером зашифрованных файлов и текстовик с вымоганием.
       
      virus.7z FRST.7z file.7z
×
×
  • Создать...