Перейти к содержанию

Сервера подверглись атаке, шифрование.

Келл
 Поделиться

Рекомендуемые сообщения

Келл

Келл

Опубликовано
Опубликовано (изменено)

Добрый день!
23.12 Подверглись атаке, вирус зашифровал несколько серверов. Предположительно было запущено вручную, обнаружили папку на рабочем столе одного из пользователей "bojblackrz", в ней библиотека и файл "svchost.exe". На одном из серверов лежал парсер mimikatz.
Помогите пожалуйста определить тип шифровальщика, есть-ли дешифратор?
Recover - записка с выкупом.
Пароль на архивы: 1111

Образцы.7z

Recover.7z

Изменено пользователем Келл
safety

safety

Опубликовано
Опубликовано
12 минут назад, Келл сказал:

обнаружили папку на рабочем столе одного из пользователей "bojblackrz", в ней библиотека и файл "svchost.exe"

Добавьте содержимое данной папки в архиве с паролем virus

+

необходимы логи FRST с зашифрованного устройства, откуда вы скинули зашифрованные файлы и записку о выкупе

safety

safety

Опубликовано
Опубликовано
Только что, Келл сказал:

Для него существуют дешифраторы?

дешифраторы существуют, но без приватных уникальных ключей, которые создаются в каждой сессии они просто "цифровые кирпичи".

safety

safety

Опубликовано
Опубликовано (изменено)

нет,

там только часть ключа, и ключ публичный, которым выполнено шифрование,

а нужен приватный ключ для расшифровки, который есть только у злоумышленников.

-------------

(С ECC/X25519 все несколько иначе происходит, чем с RSA.

приватный ключ используется дешифратором по схеме  DH для восстановления симметричного ключа, которым было выполнено шифрование файла.)

 

Для дополнительного анализа проверьте ЛС.

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User_2026
      Вирус-шифровщик
      Автор User_2026
      Компьютер заражен шифровщиком. В каждой папке все файлы заменены на *.Vc8wZJlb и рядом текстовый файл RestoreFiles.txt. Помогите определить какой шифровщик.
      Пример зашифрованного файла и RestoreFiles.txt прикрепил.
      test.zip
    • rues247
      Проникли через RDP и зашифровали файлы.
      Автор rues247
      Проникли через RDP и зашифровали файлы с расширением *.JglTOGt2. Есть шанс расшифровать?
      HowToRecover.txt Addition.txt FRST.txt Shortcut.txt файлы.7z
    • logic-20004
      Поймали шифровальщик
      Автор logic-20004
      Доброе утро всем! Кто-нибудь сталкивался с подобным?

    • Eddd
      Зашифрован виртуальный сервер
      Автор Eddd
      Добрый день. Сегодня зашифровали сервер с бд по RDP. К сожалению резервная копия сделана была уже после шифрования. Сам вирус найти не удалось в файлах. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования.FRST.txtAddition.txtfiles.rar
    • DmTS
      Зашифрованы файлы на сервере
      Автор DmTS
      Здравствуйте.
      На сервере ночью шифровальщиком были зашифрованы все файлы. Вероятно попали через RDP. С помощью Kaspersky Endpoint Security 12 был пойман Stub.exe. Прошу подсказать, есть ли вариант восстановить данные.
      Addition.zip Files.zip FRST.zip
×
×
  • Создать...