Перейти к содержанию

.1cxz шифровальщик на сервере.

dpk
 Поделиться

Рекомендуемые сообщения

dpk

dpk

Опубликовано
Опубликовано

Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.

В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.

hi.zip files.zip

Sandor

Sandor

Опубликовано
Опубликовано

Addition.txt тоже нужен, добавьте, пожалуйста.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-06-17 15:14 - 2025-06-17 15:14 - 000430289 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\Stub.zip
2025-06-17 14:31 - 2025-06-17 14:38 - 461484001 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\2622570.zip
2025-06-17 14:08 - 2025-06-17 14:08 - 001356357 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi.zip
2025-06-17 03:01 - 2025-06-17 03:01 - 005062710 _____ C:\ProgramData\29BBECEB7FA1B8D9C03F717C9A7CBF28.bmp
2025-06-17 16:47 - 2025-06-17 16:47 - 024948195 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\viruss.zip
2025-06-17 02:35 - 2025-06-17 03:01 - 000000000 ____D C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User_2026
      Вирус-шифровщик
      Автор User_2026
      Компьютер заражен шифровщиком. В каждой папке все файлы заменены на *.Vc8wZJlb и рядом текстовый файл RestoreFiles.txt. Помогите определить какой шифровщик.
      Пример зашифрованного файла и RestoreFiles.txt прикрепил.
      test.zip
    • rues247
      Проникли через RDP и зашифровали файлы.
      Автор rues247
      Проникли через RDP и зашифровали файлы с расширением *.JglTOGt2. Есть шанс расшифровать?
      HowToRecover.txt Addition.txt FRST.txt Shortcut.txt файлы.7z
    • logic-20004
      Поймали шифровальщик
      Автор logic-20004
      Доброе утро всем! Кто-нибудь сталкивался с подобным?

    • Eddd
      Зашифрован виртуальный сервер
      Автор Eddd
      Добрый день. Сегодня зашифровали сервер с бд по RDP. К сожалению резервная копия сделана была уже после шифрования. Сам вирус найти не удалось в файлах. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования.FRST.txtAddition.txtfiles.rar
    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
×
×
  • Создать...