Перейти к содержанию

.1cxz шифровальщик на сервере.

dpk
 Поделиться

Рекомендуемые сообщения

dpk

dpk

Опубликовано
Опубликовано

Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.

В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.

hi.zip files.zip

Sandor

Sandor

Опубликовано
Опубликовано

Addition.txt тоже нужен, добавьте, пожалуйста.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-06-17 15:14 - 2025-06-17 15:14 - 000430289 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\Stub.zip
2025-06-17 14:31 - 2025-06-17 14:38 - 461484001 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\2622570.zip
2025-06-17 14:08 - 2025-06-17 14:08 - 001356357 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi.zip
2025-06-17 03:01 - 2025-06-17 03:01 - 005062710 _____ C:\ProgramData\29BBECEB7FA1B8D9C03F717C9A7CBF28.bmp
2025-06-17 16:47 - 2025-06-17 16:47 - 024948195 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\viruss.zip
2025-06-17 02:35 - 2025-06-17 03:01 - 000000000 ____D C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Treyandznak
      Шифровальщик на сервере
      Автор Treyandznak
      Добрый день подскажите у нас такая ситуация 
      вовремя отключили сервер 
      На сервер были найденый исходники запуска шифровальщика
      Папка с название keyforfiles
      2 зашифрованых файла

      https://dropmefiles.com/myAas
      Файл больше размера по этому файло обменник
      KeyForFiles.7z Файлы.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • luzifi
      шифровальщик инок на сервере
      Автор luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • Akaruz
      Поймали шифровальщик на сервере
      Автор Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
    • slot9543
      Поймали шифровальщика на сервер
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...