Перейти к содержанию

.1cxz шифровальщик на сервере.

dpk
 Поделиться

Рекомендуемые сообщения

dpk

dpk

Опубликовано
Опубликовано

Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.

В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.

hi.zip files.zip

Sandor

Sandor

Опубликовано
Опубликовано

Addition.txt тоже нужен, добавьте, пожалуйста.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-06-17 15:14 - 2025-06-17 15:14 - 000430289 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\Stub.zip
2025-06-17 14:31 - 2025-06-17 14:38 - 461484001 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\2622570.zip
2025-06-17 14:08 - 2025-06-17 14:08 - 001356357 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi.zip
2025-06-17 03:01 - 2025-06-17 03:01 - 005062710 _____ C:\ProgramData\29BBECEB7FA1B8D9C03F717C9A7CBF28.bmp
2025-06-17 16:47 - 2025-06-17 16:47 - 024948195 _____ C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\viruss.zip
2025-06-17 02:35 - 2025-06-17 03:01 - 000000000 ____D C:\Users\Администратор.WIN-S4OA8B6CLHV\Desktop\hi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • SonG
      Шифровальщик .8sm (#HowToRecover) krypt1@onionmail.org / krypt2@onionmail.org
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • Bionikal
      Вирус зашифровал папки с 1с базами
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • andry-555
      Вирус зашифровал папки в общем доступе
      Автор andry-555
      вирус зашифровал все файлы в папках в открытом доступе кроме файлов с расширением *.exe в каждой папке создал файла 2 файла от либо возможно было 2 вируса
      файлы с расширением *.exe заражены вирусом NeshtaFRST.txtAddition.txt
      архив с файлами и требованиями злоумышленников.zip
    • Kachura
      шифровальщик proton (зашифровано устройство)
      Автор Kachura
      Доброго дня.
      Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
      Спасибо 
      #HowToRecover.txt Addition.txt arh.rar FRST.txt
×
×
  • Создать...