Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

На сервер попал шифровальщик ((

Albina
 Поделиться

Рекомендуемые сообщения

Albina Новичок

Albina

Опубликовано
Опубликовано

Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
С надеждой, Альбина

Shortcut_23-04-2025 17.30.07.txt Logs.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов в архиве без пароля+

записку о выкупе

2025-04-21 13:27 - 2025-04-21 13:27 - 000000388 _____ C:\#Read-for-recovery.txt

+

этот файл заархивируйте с паролем virus, и добавьте в ваше сообщение.

2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Да, это PROTON.

https://www.virustotal.com/gui/file/5ab32154fecfb39447b6bf5e111ed0d132ed1c31e3e29536ac125c5da7b81e0c

 

Только Web Console от Kaspersky установлена? Антивирусной программы не было?

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: MasterData717@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-04-21 13:42 - 2025-04-21 13:42 - 005062710 _____ C:\ProgramData\E5D6B51A8F3CA53D5FFFA700E2F88103.bmp
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
2025-04-21 13:21 - 2025-04-21 13:21 - 000128000 _____ C:\Users\GhostUser\Downloads\NS.exe
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Albina Новичок

Albina

Опубликовано
  • Автор
Опубликовано

1. Был установлеFixlog.txtн Kaspersky endpoint Security. Kaspersky Security Center 11. 

2. При попытке создания архива "C:\FRST\Quarantine"  архиватор выдал ошибку, "Отказано в доступе" к файлу 'C:\FRST\Quarantine\C\Users\GhostUser\Downloads\NS.exe .xBAD

image.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Ссылка на комментарий
Поделиться на другие сайты
Albina Новичок

Albina

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Здравствуйте. Kes функционирует. Прилагаю архив с отчетом с начала недели. Шифровальщик словили в пн.
При отключенном антивирусе все равно не дает сделать архив папки C:\FRST\Quarantine.

отчет KES.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно по этой причине и нет детекта:
 

Цитата

 

22.04.2025 16:31:32    Не удалось выполнить задачу    Обновление    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Невозможно запустить задачу        Обновление    Лицензия не допускает работу компонента    

24.04.2025 13:02:23    Базы сильно устарели    Защита    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Базы сильно устарели  

----------

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

    

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • NotDev
      [РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер
      Автор NotDev
      Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      файлы точно такие же, директории тоже и происходит точно такая же ситуация.
      Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
      https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

      1) AutoLogger - логи с него.
      2) Farbar Recovery Scan Tool - так же лог с него.

      Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.
      CollectionLog-2025.07.06-21.02.zip FRST.zip
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
×
×
  • Создать...