Перейти к содержанию

Вирус вымогатель

Vertex1551
 Поделиться

Рекомендуемые сообщения

Vertex1551

Vertex1551

Опубликовано
Опубликовано

Сегодня зайдя в сервер увидел это, пароль от админа не подходит, данные хотелось бы восстановить Windows server 2008r2

photo_2025-09-04_16-19-51.jpg

safety

safety

Опубликовано
Опубликовано

Похоже на Mimic,

добавьте несколько зашифрованных файлов+записку о выкупе в одном архиве без пароля, + нужны будут логи FRST от имени Администратора для последующей очистки системы.

Vertex1551

Vertex1551

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

Похоже на Mimic,

добавьте несколько зашифрованных файлов+записку о выкупе в одном архиве без пароля, + нужны будут логи FRST от имени Администратора для последующей очистки системы.

Пароль от админа не подходит, есть второй пк к которому подключен этот диск, вот файлы

1.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Проверьте, есть на этом диске такая папка?:

буква диска:\Users\учетная запись пользователя\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED

Если есть, заархивируйте ее с паролем virus, загрузите на облачный диск и дайте ссылку здесь на скачивание.

Изменено пользователем safety
Vertex1551

Vertex1551

Опубликовано
  • Автор
Опубликовано
14 часов назад, safety сказал:

Похоже на Mimic,

добавьте несколько зашифрованных файлов+записку о выкупе в одном архиве без пароля, + нужны будут логи FRST от имени Администратора для последующей очистки системы.

нету такого 

 

 

4 часа назад, safety сказал:

Проверьте, есть на этом диске такая папка?:

буква диска:\Users\учетная запись пользователя\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED

Если есть, заархивируйте ее с паролем virus, загрузите на облачный диск и дайте ссылку здесь на скачивание.

нету такого файла

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Vertex1551

Vertex1551

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

даже если в админа зайти смогу ?

safety

safety

Опубликовано
Опубликовано

Если вы войдете в админку и соберете логи FRST, мы сможем проверить остатки файлов шифровальщика в системе и вычистить систему.

Vertex1551

Vertex1551

Опубликовано
  • Автор
Опубликовано
8 часов назад, safety сказал:

Если вы войдете в админку и соберете логи FRST, мы сможем проверить остатки файлов шифровальщика в системе и вычистить систему.

ладно, не нужно, спасибо

 

safety

safety

Опубликовано
Опубликовано (изменено)

то-то и оно, что вам лень-матушка сделать свою работу.

данная папка может быть скрытой.

буква диска:\Users\учетная запись пользователя\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED

возможно, что наименование папки отличается от указанной, если сэмпл был изменен.

Изменено пользователем safety
Vertex1551

Vertex1551

Опубликовано
  • Автор
Опубликовано
В 07.09.2025 в 05:08, safety сказал:

то-то и оно, что вам лень-матушка сделать свою работу.

данная папка может быть скрытой.

буква диска:\Users\учетная запись пользователя\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED

возможно, что наименование папки отличается от указанной, если сэмпл был изменен.

Скрытые папки проверил, да уже и не актуально)

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
×
×
  • Создать...