Перейти к содержанию

Шифровальщик zimmer 1488

sashakrug
 Поделиться

Рекомендуемые сообщения

sashakrug

sashakrug

Опубликовано
Опубликовано

Здравствуйте!

ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля +

логи FRST

sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано

К сожалению записку найти не удалось. Где она может лежать?

zimmer.zip

 

41 минуту назад, sashakrug сказал:

К сожалению записку найти не удалось. Где она может лежать?

zimmer.zip 3.69 MB · 1 загрузка

Нашел вроде 

INFO_TO_DECRYPT_ZIMMER1488.txt

safety

safety

Опубликовано
Опубликовано

Шифрование именно в этой системе было, откуда логи FRST сделаны? что-то не видно ни одного зашифрованного файла.

Систему уже чистили в KVRT или Cureit? Можете добавить логи проверки в архиве, без пароля?

Покажите содержимое этих папок:

2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4

и

c:\temp

 

sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано (изменено)

 

19 минут назад, safety сказал:

Шифрование именно в этой системе было, откуда логи FRST сделаны? что-то не видно ни одного зашифрованного файла.

Систему уже чистили в KVRT или Cureit? Можете добавить логи проверки в архиве, без пароля?

Покажите содержимое этих папок:

2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4

и

c:\temp

 

Логи сделаны из под админского сеанса. Зашифрованные файлы видны во всех сеансах. Проверял CureIt. НЕ вижу как логи вытащить в CureIt

 

Безымянный2.jpg

Безымянный3.jpg

Безымянный.jpg

Изменено пользователем sashakrug
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2025-10-07 23:06 - 2025-10-07 23:41 - 000000000 ____D C:\temp
2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

10 минут назад, sashakrug сказал:

НЕ вижу как логи вытащить в CureIt

Как найти файл: 

  1. Откройте Проводник Windows: или "Этот компьютер".
  2. Перейдите в папку пользователя: по пути: C:\Users\<Ваше_Имя_Пользователя>.
  3. Найдите папку DoctorWeb: и внутри нее вы увидите файл CureIt.log.
Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Просьба не цитировать мои сообщения, просто пишите ответ в окне редактора.

Время у меня позднее, результат выполнения скрипта проверю завтра.

Изменено пользователем safety
sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано (изменено)

Сделано.

файл загружен, ссылка удалена

 

 

Fixlog.txt

Cureit.zip

Изменено пользователем safety
файл загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

По логу Cureit:

 

Цитата

C:\users\* евгений\appdata\local\5457db13-e85d-b5af-3e73-ba66cedc8ec4\zimmer1488.exe - infected with Trojan.Encoder.40979
C:\users\* евгений\appdata\local\5457db13-e85d-b5af-3e73-ba66cedc8ec4\zimmer1488.exe - infected - 52ms, 2399232 bytes

 

Судя по результату проверки детект есть:

DrWeb Trojan.Encoder.40979

ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C

KasperskyHEUR:Trojan-Ransom.Win32.Mimic.gen

https://www.virustotal.com/gui/file/4c5177f1ab53a1beaa5b68e2d51aea56bcae9b16b76136e6f5afeb246b3ce9ff?nocache=1

С расшифровкой файлов не сможем помочь без приватного ключа.

 

Как избежать ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано

Приватный ключ можно получить только от адреса вымогателя, указанного в письме после оплаты я так понимаю? По стоимости может ориентируетесь какая сумма там примерно?

safety

safety

Опубликовано
Опубликовано (изменено)

Переговоры с злоумышленниками не обсуждаем здесь

+

проверьте ЛС.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
×
×
  • Создать...