Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика

[kaje_14]

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 

Никакого текста с вымоганием пока не нашёл.

Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt

Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

[kmscom]

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

[kaje_14]

5 минут назад, kmscom сказал:

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

а что именно неправильно? Или я что-то не понял, извините

[safety]

1 час назад, kaje_14 сказал:

Никакого текста с вымоганием пока не нашёл.

Attention.hta - это и есть записка о выкупе.

 

Цитата

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

Изменено 4 часа назад пользователем safety

[kaje_14]

45 минут назад, safety сказал:

Attention.hta - это и есть записка о выкупе.

 

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

да, этот ПК тоже зашифрован. Кажется был взломан ночью. Вчера я для сотрудника настроил RDP, Windows 10 стоит, со своим дефендором включенным. Сотрудник поработал потом отключился. Я зашел туда, оба учетных записи заблокированы: и Администратор и учетка для сотрудника, тоже с функциями администратора

[thyrex]

2 часа назад, kaje_14 сказал:

а что именно неправильно? Или я что-то не понял, извините

FRST.txt не прислали

[kaje_14]

6 минут назад, thyrex сказал:

FRST.txt не прислали

оО забыл прикрепить, вот

FRST.txt

[kaje_14]

сделал логи FRST и ESVC с ПК который  (кажется) был сперва заражен (после которого вирус проник и на файловый сервер). Логи прикрепляю

Addition.txt ESVC_DESKTOP-2BNSU92_20250807173502.zip FRST.txt Shortcut.txt

[safety]

Этот файл добавьте в архив с паролем virus, архив загрузите  на облачный диск, и дайте ссылку на скачивание здесь. Возможно это файл шифровальщика или как то связан с атакой.

2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe

---------

Возможно, что запуск шифрования сервера был по сети именно с этого ПК, наверняка серверные диски были подключены как сетевые шары к этому ПК, потому и нет следов запуска на сервере, и затронуты только дополнительные диски.

 

Это не шифровальщик, но аозможно бэкдор и он активен, в автозапуске.

R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]

https://www.virustotal.com/gui/file/d00cfb07692ea3d0533f082a14295f7e18383420c2a940a024030c8bad67fb3a

Изменено 15 минут назад пользователем safety

[safety]

Сделайте, пожалуйста, на этом ПК проверку в KVRT, посмотрим что он найдет

Изменено 12 минут назад пользователем safety