Перейти к содержанию

На сервер попал шифровальщик ((

Albina
 Поделиться

Рекомендуемые сообщения

Albina

Albina

Опубликовано
Опубликовано

Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
С надеждой, Альбина

Shortcut_23-04-2025 17.30.07.txt Logs.zip

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов в архиве без пароля+

записку о выкупе

2025-04-21 13:27 - 2025-04-21 13:27 - 000000388 _____ C:\#Read-for-recovery.txt

+

этот файл заархивируйте с паролем virus, и добавьте в ваше сообщение.

2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe

 

safety

safety

Опубликовано
Опубликовано

Да, это PROTON.

https://www.virustotal.com/gui/file/5ab32154fecfb39447b6bf5e111ed0d132ed1c31e3e29536ac125c5da7b81e0c

 

Только Web Console от Kaspersky установлена? Антивирусной программы не было?

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: MasterData717@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-04-21 13:42 - 2025-04-21 13:42 - 005062710 _____ C:\ProgramData\E5D6B51A8F3CA53D5FFFA700E2F88103.bmp
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
2025-04-21 13:21 - 2025-04-21 13:21 - 000128000 _____ C:\Users\GhostUser\Downloads\NS.exe
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

Albina

Albina

Опубликовано
  • Автор
Опубликовано

1. Был установлеFixlog.txtн Kaspersky endpoint Security. Kaspersky Security Center 11. 

2. При попытке создания архива "C:\FRST\Quarantine"  архиватор выдал ошибку, "Отказано в доступе" к файлу 'C:\FRST\Quarantine\C\Users\GhostUser\Downloads\NS.exe .xBAD

image.png

safety

safety

Опубликовано
Опубликовано

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Albina

Albina

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Здравствуйте. Kes функционирует. Прилагаю архив с отчетом с начала недели. Шифровальщик словили в пн.
При отключенном антивирусе все равно не дает сделать архив папки C:\FRST\Quarantine.

отчет KES.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно по этой причине и нет детекта:
 

Цитата

 

22.04.2025 16:31:32    Не удалось выполнить задачу    Обновление    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Невозможно запустить задачу        Обновление    Лицензия не допускает работу компонента    

24.04.2025 13:02:23    Базы сильно устарели    Защита    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Базы сильно устарели  

----------

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

    

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Slider07
      Попал шифровальщик Jack
      Автор Slider07
      Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .jack
      прикладываю файлы, и кажется сам вирус. Возможно ли восстановить что нибудь?
      virus pass.zip Jack_Help.txt files.zip
    • Stepan1992
      [РАСШИФРОВАНО] Попался на шифровальщика
      Автор Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • Treyandznak
      Шифровальщик на сервере
      Автор Treyandznak
      Добрый день подскажите у нас такая ситуация 
      вовремя отключили сервер 
      На сервер были найденый исходники запуска шифровальщика
      Папка с название keyforfiles
      2 зашифрованых файла

      https://dropmefiles.com/myAas
      Файл больше размера по этому файло обменник
      KeyForFiles.7z Файлы.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Татьяна_2
      Попался шифровальщик Ryuk64. Есть ли возможность расшифровки ?
      Автор Татьяна_2
      Утром увидели печальную картину на серваке. Что можно сделать ?
      Пример для дешифровки.rarruyk64_zip.rar
    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
×
×
  • Создать...