Перейти к содержанию

Вирус шифровальщик, расширение .encrypted

tireks
 Поделиться

Рекомендуемые сообщения

tireks

tireks

Опубликовано
Опубликовано

Добрый день, сервер был взломан и заражен шифровальщиком, просим помощи в очистке системы от вируса и расшифровки файлов если это возможно.

отчеты FRST и архив (ransomware.zip) вероятного шифровальщика прикрепили.

FRST.txt Addition.txt ransomware.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно запуск шифровальщика был на другом устройстве в вашей сети..

на данном устройстве зашифрованы, скорее всего только общие папки.

Индикаторов запуска сэмпла шифровальщика в логах нет.

 

Нужны логи с устройства, на котором был запуск процесса шифрования.

Ищите в папке c:\temp файл session.tmp. размер 32 байта.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
4 часа назад, tireks сказал:

Нашли. Куда загрузить файл session.tmp ?

Сделайте логи FRST на этом устройстве.

ession.tmp не поможет нам расшифровать ваши файлы, он указывает, что на данном устройстве был запуск процесса шифрования.

Изменено пользователем safety
tireks

tireks

Опубликовано
  • Автор
Опубликовано

Этот сервер виртуальный на proxmox, систему загрузить не можем, но есть прямой доступ к образу системы , возможно ли проверить каким-то иным способом? 

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл можно восстановить из карантина, заархивировать с паролем virus, загрузить архив на облачный диск и дать ссылку на скачивание здесь?

Цитата

            <Event3 Action="Detected" Time="134035700507114614" Object="@Filesystem[dfd63084-60b7-4d42-c572-0ef156c7c1c4]/Users/noname/AppData/Local/51271509-366D-30C9-038E-A0FA16B1DDED/lucky_john.exe" Info="HEUR:Trojan-Ransom.Win32.Mimic.gen" />


+

Эту папку проверьте что в ней осталось:

c:/Users/noname/AppData/Local/51271509-366D-30C9-038E-A0FA16B1DDED

Изменено пользователем safety
tireks

tireks

Опубликовано
  • Автор
Опубликовано (изменено)

Ссылка на архив

Изменено пользователем safety
архив загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)

хорошо, проверю архив немного позже. Данную папку можно удалить из системы и проверить возможность загрузки системы.

Если система загрузится, сделайте логи FRST для окончательной очистки системы.

Изменено пользователем safety
tireks

tireks

Опубликовано
  • Автор
Опубликовано (изменено)

Система загрузилась, прогнали ещё раз FRST, отчет приложили.

FRST.txt Addition.txt

Изменено пользователем tireks

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ired
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор Ired
      Здравствуйте.
      Поймали эту заразу.
      К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
      Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
      Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
      Прошу посильной помощи.
      FRST_logs.7z EncryptedFiles.7z
    • Carbamazepine
      enkacrypt Mimic/Pay2Key Ransomware
      Автор Carbamazepine
      Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 
      Имеет смысл попытаться спасти систему? Установлен kaspersky premium.
      Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 
       
      Addition.txt FRST.txt example.zip
    • Dmitry.K
      Прошу помочь с расшифровкой файлов, вероятно elpaco-team
      Автор Dmitry.K
      Здравствуйте, все файлы на рабочем сервере зашифрованы, выглядят примерно вот так:
      Предыдущий админ бэкапов не делал
       
      PUBID_1417896-20210406_ВыгрузкаЗагрузкаИзбранного.epf.WWWWW-vuSRP-NeSC-8GVhkGC2CoADRAf6mTQYNKCc4TqWbgzY
       
      Прикладываю лог frst и архив с файлами
      Addition.txt encrypted_samples.7z FRST.txt
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ELF_11
      Зашифровали базы 1с (файловые)
      Автор ELF_11
      Зашифровали базы 1с. Прошу помощи.
      Addition.txt FRST.txt Новая папка.rar
×
×
  • Создать...