Перейти к содержанию

Диски с базами 1С зашифровали шифровальщиком dreed

Eugene_aka_Hades
 Поделиться

Рекомендуемые сообщения

Eugene_aka_Hades

Eugene_aka_Hades

Опубликовано
Опубликовано

Здравствуйте,

 

вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.

Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.

 

Первый раз сталкиваюсь с этой бедой, подскажите, что делать?

safety

safety

Опубликовано
Опубликовано
1 час назад, Eugene_aka_Hades сказал:

подскажите, что делать?

Для определения типа шифровальщика необходим зашифрованный файл, записка о выкупе + логи FRST для анализа системы.

  • Like (+1) 1
Eugene_aka_Hades

Eugene_aka_Hades

Опубликовано
  • Автор
Опубликовано
23 минуты назад, safety сказал:

Для определения типа шифровальщика необходим зашифрованный файл, записка о выкупе + логи FRST для анализа системы.


Прошу меня простить, затупил, волнуюсь.
Мчу сейчас к серверу, пока приложил архив с зашифрованным файлом и записку о выкупе.
лог из FRST приложу в течении пары часов.

Decrypt_files.txt Install.log.dreed.zip

safety

safety

Опубликовано
Опубликовано

Судя по записке о выкупе - это предположительно Mimic.

Your personal ID:  N-SSN*******FriCs*dreed 
 

Точнее можно будет определить после получения логов FRST.

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Addition.txt тоже добавьте, пожалуйста.

  • Like (+1) 1
Eugene_aka_Hades

Eugene_aka_Hades

Опубликовано
  • Автор
Опубликовано

Пардон, вот файл.

Addition.txt

 

UPD: прогнал Kaspersky Removal Tool. Он определил шифровальщик как MIMIC, вы абсолютно правы.

Пробовал найти на форуме ветку по мимику, но не нашел решения..

Существует ли она вообще?

 

8 часов назад, safety сказал:

Судя по записке о выкупе - это предположительно Mimic.

Your personal ID:  N-SSN*******FriCs*dreed 
 

Точнее можно будет определить после получения логов FRST.

 

safety

safety

Опубликовано
Опубликовано

Логи проверки KVRT (папка reports) из основной папки KVRT_2020 в архиве без пароля так же добавьте в ваше сообщение.

Общей папки по MIMIC здесь нет, каждое обращение  - в отдельной теме, если пролистаете несколько страниц в данном разделе, то увидите, что с MIMIC каждое-третье, четвертое обращение.

 

логи FRST сейчас проверю.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe <2>
(C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe ->) () [Файл не подписан] C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\gui40.exe
(C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe ->) (Microsoft Corporation -> Sysinternals - www.sysinternals.com) C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\xdel.exe
HKLM\...\Run: [payfast] => C:\Users\Администратор\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe [2396672 2024-08-23] () [Файл не подписан]
HKLM\...\Run: [payfast.exe] => C:\Users\Администратор\AppData\Local\Decrypt_files.txt [3131 2025-06-20] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-06-19 23:34 - 2025-06-20 11:17 - 000000000 ____D C:\temp
2025-06-20 11:18 - 2024-08-23 15:36 - 000000000 __SHD C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D
2025-06-20 11:18 - 2024-05-23 18:20 - 000000000 __SHD C:\Users\Администратор\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Eugene_aka_Hades

Eugene_aka_Hades

Опубликовано
  • Автор
Опубликовано
4 часа назад, safety сказал:

Логи проверки KVRT (папка reports) из основной папки KVRT_2020 в архиве без пароля так же добавьте в ваше сообщение.

Общей папки по MIMIC здесь нет, каждое обращение  - в отдельной теме, если пролистаете несколько страниц в данном разделе, то увидите, что с MIMIC каждое-третье, четвертое обращение.

 

логи FRST сейчас проверю.

 

Логи проверки KVRT во вложении.

 

Reports.zip

 

3 часа назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe <2>
(C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe ->) () [Файл не подписан] C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\gui40.exe
(C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe ->) (Microsoft Corporation -> Sysinternals - www.sysinternals.com) C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\xdel.exe
HKLM\...\Run: [payfast] => C:\Users\Администратор\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe [2396672 2024-08-23] () [Файл не подписан]
HKLM\...\Run: [payfast.exe] => C:\Users\Администратор\AppData\Local\Decrypt_files.txt [3131 2025-06-20] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-06-19 23:34 - 2025-06-20 11:17 - 000000000 ____D C:\temp
2025-06-20 11:18 - 2024-08-23 15:36 - 000000000 __SHD C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D
2025-06-20 11:18 - 2024-05-23 18:20 - 000000000 __SHD C:\Users\Администратор\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

После перезагрузки пропали все "баннеры счастья", основной заблокированный функционал вернулся, но файлы пока зашифрованы.

Файл Fixlog.txt и ссылку на архив прикладываю - https://disk.yandex.ru/d/jeBkgUxnqgy2rw.
В папке Quarantine указана папка С. Как я понимаю, это системный диск.
Нужно ли подобный скрипт прогонять для другого диска, на котором находятся зашифрованные базы данных 1С?

 

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Новые логи FRST нужны только если шифрование было на другом устройстве. Файлы, которые вы передали сейчас проверю.

 

Судя по отчетам система была очищена от тела шифровальщика в обеих папках:

Цитата

            <Event9 Action="Deleted" Time="133948955770996152" Object="C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\gui40.exe" Info="" />
            <Event10 Action="Deleted" Time="133948955770996152" Object="C:\Users\1C\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe" Info="" />
            <Event11 Action="Disinfection" Time="133948955773496675" Object="" Info="Finished" />

и

Цитата

            <Event9 Action="Deleted" Time="133948909105231912" Object="HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\payfast" Info="" />
            <Event10 Action="Deleted" Time="133948909126556740" Object="C:\Users\Администратор\AppData\Local\EDB2B4D0-12EF-BD9E-FD2F-84CB89A8D54D\payfast.exe" Info="" />
            <Event11 Action="Disinfection" Time="133948909128901801" Object="" Info="Finished" />

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Для анализа причин проникновения на сервер:

Проверьте ЛС.

Eugene_aka_Hades

Eugene_aka_Hades

Опубликовано
  • Автор
Опубликовано
35 минут назад, safety сказал:

Новые логи FRST нужны только если шифрование было на другом устройстве. Файлы, которые вы передали сейчас проверю.

 

Судя по отчетам система была очищена от тела шифровальщика в обеих папках:

и

 

 

Да, после перезагрузки сервера все ошибки пропали, процессов нет в диспетчере.
Файлы правда по прежнему зашифрованы. Есть надежда их спасти? Или можно готовить все к переустановке?

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов все сложнее, чем просто с очисткой системы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • fmlnuser
      wsus на базе ksc
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
×
×
  • Создать...