Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик на windows server 2008 r2

gggPlu
 Поделиться

Рекомендуемые сообщения

gggPlu

gggPlu

Опубликовано
Опубликовано

Добрый день. Сегодня утром обнаружили, что за выходные нам зашифровали сервер. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования. Прошу помощи с очисткой и расшифровкой

Addition.txt FRST.txt virus.rar

safety

safety

Опубликовано
Опубликовано

Здесь что в архиве?

2026-02-09 09:55 - 2026-02-09 09:55 - 047978826 _____ C:\Users\rescueadmin1\Desktop\system32 - 12345.rar

и здесь:

2026-02-09 08:58 - 2026-02-09 08:58 - 000218399 _____ C:\Users\Public\Desktop\Desktop.rar

Поищите так же папку Pictures\HEX

Если папка найдется, заархивируйте папку Pictures (вместе с HEX и другими подкаталогами) с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание.

gggPlu

gggPlu

Опубликовано
  • Автор
Опубликовано (изменено)

Эти архивы мы создавали сегодня сами, там копии зашифрованных файлов. В Pictures пусто, только файл READ-ME с требованием выкупа

 

нашли папку pictures. ссылка на скачивание:

Изменено пользователем gggPlu
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Папку с Pictures удалите вручную - это папка с инструментарием злоумышленника.

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\rescueadmin1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\TEMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\TEMP.WIN-TS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2026-02-08 14:52 - 2026-02-08 14:52 - 002359350 _____ C:\ProgramData\Eclipse.bmp
2026-02-06 23:39 - 2026-02-06 23:39 - 000000784 _____ C:\Windows\sysinfo01.bios
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

  • 3 недели спустя...
gggPlu

gggPlu

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день. При просьбе провести тестовую расшифровку злоумышленник провел расшифровку, но не отослал расшифрованный файл, а прислал скриншоты. На скриншотах он замазал путь к папке в командной строке, но забыл замазать то же слово (vaqankir) с свойствах файла. Подскажите, не может ли нам быть полезна эта информация в расшифровке?

Снимок экрана 2026-02-20 в 12.02.03.png

Изменено пользователем gggPlu
опечатка
safety

safety

Опубликовано
Опубликовано (изменено)
52 минуты назад, gggPlu сказал:

Подскажите, не может ли нам быть полезна эта информация в расшифровке?

:),

наверное это его имя.

Вот если бы он по ошибке прислал бы файл DecryptionKeys.bin, тогда бы это помогло в расшифровке.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tentacruel74
      Шифровальщик C77L
      Автор tentacruel74
      Добрый день.
      Зашифровало несколько серверов, помогите расшифровать.
      требования.rarvirus.rarFRST.txtAddition.txt
    • Rrr43
      Вирус Win64/FileCoder.C!AMTB вымогатель зашифровал файлы
      Автор Rrr43
      ОС Windows 10 
      Утром пользователь увидел сообщение о том что все файлы зашифрованы 
      Windows Defender был выключен, сам вирус был обнаружен в папке пользователя Pictures\hex
      Windows Defender обнаружил две угрозы  Ransom :Win64/FileCoder.C!AMTB и Virus:Win32/Mikcer.B
      ОС не переустанавливал, компьютер не перезагружал, едиственное убил процес Everything.exe из папки с вирусом и удалил папку Hex
      Addition.txt FRST.txt вирус.7z зашифрованные файлы.7z
    • Алексей Ал
      Зашифрованы файлы на нескольких серверах
      Автор Алексей Ал
      Добрый день, возможно ли расшифровать файлы?

      На каждом из серверов в 3 ночи создана папка  с таким содержимым
      "D:\Users\199\Pictures\hex\Everything.exe"
      "D:\Users\199\Pictures\hex\Everything.ini"
      "D:\Users\199\Pictures\hex\nullhex@2mail.co.exe"
      "D:\Users\199\Pictures\hex\READ-ME.txt"
      "D:\Users\199\Pictures\hex\a.bat.[nullhex@2mail.co].F0C04821"
      "D:\Users\199\Pictures\hex\Everything.db"
       
      так же при загрузке одного из серверов вылезла ошибка о не найденном файле 26a77629.vbs в "D:\Users\199\AppData\Local\Temp\"
       
      Прикладываю файлы и результаты анализа по одному из серверов.
      Addition.txt FRST.txt FILE.7z
    • rumslava
      Зашифрован сервер
      Автор rumslava
      Добрый день. Сегодня зашифровали сервер, ориентировочно по RDP.  Сам вирус найти не удалось в файлах. Прикладываю архив с зашифрованными файлами и письмом о выкупе и результаты сканирования. 
      FRST.txt files.rar Addition.txt
    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
×
×
  • Создать...