Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 

Никакого текста с вымоганием пока не нашёл.

Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt

скан1.jpg

скан2.jpg

Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

Опубликовано (изменено)
1 час назад, kaje_14 сказал:

Никакого текста с вымоганием пока не нашёл.

Attention.hta - это и есть записка о выкупе.

 

Цитата

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

Изменено пользователем safety
Опубликовано
45 минут назад, safety сказал:

Attention.hta - это и есть записка о выкупе.

 

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

да, этот ПК тоже зашифрован. Кажется был взломан ночью. Вчера я для сотрудника настроил RDP, Windows 10 стоит, со своим дефендором включенным. Сотрудник поработал потом отключился. Я зашел туда, оба учетных записи заблокированы: и Администратор и учетка для сотрудника, тоже с функциями администратора

Опубликовано
2 часа назад, kaje_14 сказал:

а что именно неправильно? Или я что-то не понял, извините

FRST.txt не прислали

Опубликовано
7 часов назад, thyrex сказал:

FRST.txt не прислали

оО забыл прикрепить, вот

FRST.txt

 

сделал логи FRST и ESVC с ПК который  (кажется) был сперва заражен (после которого вирус проник и на файловый сервер). Логи прикрепляю

Addition.txt ESVC_DESKTOP-2BNSU92_20250807173502.zip FRST.txt Shortcut.txt

Опубликовано (изменено)

Этот файл добавьте в архив с паролем virus, архив загрузите  на облачный диск, и дайте ссылку на скачивание здесь. Возможно это файл шифровальщика или как то связан с атакой.

2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe

---------

Возможно, что запуск шифрования сервера был по сети именно с этого ПК, наверняка серверные диски были подключены как сетевые шары к этому ПК, потому и нет следов запуска на сервере, и затронуты только дополнительные диски.

 

Это не шифровальщик, но аозможно бэкдор и он активен, в автозапуске.

R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]

https://www.virustotal.com/gui/file/d00cfb07692ea3d0533f082a14295f7e18383420c2a940a024030c8bad67fb3a

Изменено пользователем safety
Опубликовано (изменено)

Сделайте, пожалуйста, на этом ПК проверку в KVRT, посмотрим что он найдет

 

А вот это что за объект?

            <Event3 Action="Detect" Time="133990377385256722" Object="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.exe" Info="HEUR:Trojan.Win32.Generic" />

пробуйте извлечь его из карантина, после восстановления переименовать в  e1e61bd68be91d6b1f6a222e4c3c896b.Vexe чтобы он не запустился, заархивировать с паролем virus, загрузить архив так же в облако и дать ссылке. Затем этот файл можно удалить

report_2025.08.07_19.50.42.klr.rar

Изменено пользователем safety
Опубликовано (изменено)
14 часов назад, safety сказал:

e1e61bd68be91d6b1f6a222e4c3c896b.Vexe

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Опубликовано
2 часа назад, safety сказал:

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

когда я сбросил пароль и зашел в учетку Администратора (он там долго очень входил, потом экран мигает все черное, часть панели задач видна, стрелка мышки тоже еле видна, всё мигает, ни на что не реагирует). Пытался через Безопасный режим, не заходит, через установщик зашел и там показывает что учетной записи rv больше нет, только глючный Администратор. Эх

2 часа назад, safety сказал:

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

поэтому в данный момент этот скрипт не могу выполнить. По идее данные этого компьютера  не так важны, он со старого перекинут и недавно установлен был. Плохо что следы больше не останутся

Опубликовано

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Опубликовано
35 минут назад, safety сказал:

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

По 8 пункту: Open VPN если правильно настроить довольно безопасен ведь? И что насчёт Hamachi? Мы его использовали раньше, но сейчас нормальных аналогов не можем найти.

Сервер со старой Windows Server 2008 наверное переустановим, что посоветуете? Файловый сервер на основе Линукса получше будет?

 

Опубликовано
15 минут назад, kaje_14 сказал:

Сервер со старой Windows Server 2008 наверное переустановим, что посоветуете? Файловый сервер на основе Линукса получше будет?

 

Как видите, файлы на этом сервере были зашифрованы даже не заходя на сам сервер, а потому что диски были в общем доступе с другого устройства, через которое сервер был атакован.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alya
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • Elly
      Автор Elly
      Друзья!
       
      День рождения – особый праздник. И празднуем мы его ежегодно. День рождения есть и у нашего клуба «Лаборатории Касперского». Ежегодно в последние дни августа наиболее активные участники рейтинговой системы отправляются в разные уголки нашей планеты, чтобы встретить этот праздник. В этом году день рождения клуба отмечают в Дагестане. Для того, чтобы эмоции и яркие моменты этих дней сохранить, мы хотим предложить вам поучаствовать в конкурсе фотографий «Лучший кадр дня» во время празднования дня рождения клуба.
       
      Информация для участников поездки в Дагестан: принимаются любые фотографии, сделанные во время этой поездки.
      Информация для остальных участников конкурса: принимаются любые фотографии на природную тематику.
      Общая информация для всех участников конкурса: свобода творчества не ограничивается, но ее содержание не должно противоречить Правилам форума.
       
      ПРАВИЛА КОНКУРСА
      – На конкурс предоставляется фотография и описание к ней, созданные участником конкурса самостоятельно;
      – Фотография должна быть создана с 20 по 25 августа 2025 г. включительно;
      – Каждый участник может предоставить только одну фотографию и описания к ней в качестве работы;
      – Фотография не должна быть опубликована где-либо ранее, чем на этот конкурс;
      – Для каждой фотографии должна быть опубликована информация о дате и месте съемки фотографии;
      – Допускается неглубокое художественное редактирование ваших фото. Участник должен хранить оригинальные файлы и, в случае необходимости, предоставить их администрации клуба;
      - После завершения приёма работ фотографии не должны удаляться, редактироваться, изменяться любым образом в течение 1 месяца;
      – Фотографии и ее содержание не должны противоречить Правилам форума;
      – Работы нужно размещать в ТЕМЕ приёма работ.
       
      Прием фотографий осуществляется до 20 часов 00 минут 30 августа 2025 года (время московское). 
      Принять участие в конкурсе могут все зарегистрированные пользователи клуба "Лаборатории Касперского".
       
      НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД
      В  течение 10 дней после окончания приема работ жюри выберет 3 лучшие работы.
      Распределение баллов по призовым местам:
      1е место - 500 баллов
      2е место - 400 баллов
      3е место - 300 баллов
       
      Участники конкурса, работы которых не попадут в число победивших, в качестве поощрительного приза получат 100 баллов.
       
      Для получения призовых баллов участнику необходимо иметь на форуме не менее 25 сообщений в разделах с включённым счётчиком сообщений на момент завершения проведения конкурса.
       
      Итоги конкурса будут подведены в течение двадцати дней с момента завершения данного конкурса. Баллы будут начислены в течение двадцати дней с момента опубликования итогов конкурса.
       
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять @Elly(с обязательным включением пользователя  @oit в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов конкурса и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
       
      Иные вопросы по конкурсу могут быть обсуждены в данной теме.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила конкурса, перезапустить или вовсе прекратить его проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем (в т.ч. выставление работ явно низкого качества, свидетельствующее об участии исключительно в целях получения поощрительного приза - манипулирование правом на участие в конкурсе) и/или нарушения правил конкурса. Любые вопросы, связанные с конкурсом, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения его итогов.
       
      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.
    • Elly
      Автор Elly
      Здесь только приём работ. Правила конкурса тут.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...