hsharada Шифровальщик зашифровал сервера Window Server

[Pristan]

Зашифровались почти все сервера на MS Windows server.

Пример зашифрованных файлов, требования и логи во вложении.

 

По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.

 

Спасибо.

Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt

[safety]

Добавьте, пожалуйста, найденный файл, в архиве, с паролем virus,

Предположительно, шифрование выполнено HsHarada

[Pristan]

файл во вложении

ConsoleHost_history.7z

[safety]

Возможно, это не сам шифровальщик, а только загрузчик.

 

 

https://virusscan.jotti.org/ru-RU/filescanjob/fx5ckqlyp4

 

Проверьте ЛС.

----------

Расшифровка файлов по данному типу шифровальщика, к сожалению, нашими силами невозможна.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 апреля пользователем safety

[Pristan]

Добрый д ень.

 

Архив с вредоносным файлов во вложении.

 

Спасибо.

Microsoft-Windows-PowerShell%4Operational.7z

[safety]

Судя по событиям из журнала активность powershell продолжается на данном сервере.

Если возможно, сделайте образ автозапуска системы для анализа задач в системе.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.