Перейти к содержанию

Зашифрован сервер

rumslava
 Поделиться

Рекомендуемые сообщения

rumslava

rumslava

Опубликовано
Опубликовано

Добрый день. Сегодня зашифровали сервер, ориентировочно по RDP.  Сам вирус найти не удалось в файлах. Прикладываю архив с зашифрованными файлами и письмом о выкупе и результаты сканирования. 

FRST.txt files.rar Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Зааривируйте папку Pictures с паролем virus, добавьте архив в ваше вложение, если файл будет большой, загрузите архив на облачный диск и дайте здесь ссылку на скачивание.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(services.exe ->) (zersrv.com-4047bc -> ) [Файл не подписан] C:\Program Files\Mesh Agent\MeshAgent.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
R2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3484312 2026-03-13] (zersrv.com-4047bc -> ) [Файл не подписан]
2026-03-14 04:34 - 2026-03-14 04:34 - 006912054 _____ C:\ProgramData\Eclipse.bmp
2026-03-13 21:26 - 2026-03-13 21:26 - 000000896 _____ C:\Windows\sysinfo01.bios
2026-03-13 21:10 - 2026-03-13 21:10 - 003484312 _____ C:\f.exe
2026-03-13 20:48 - 2026-03-13 22:01 - 000000000 ____D C:\Program Files\Mesh Agent
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

rumslava

rumslava

Опубликовано
  • Автор
Опубликовано (изменено)
40 минут назад, safety сказал:

Зааривируйте папку Pictures с паролем virus, добавьте архив в ваше вложение, если файл будет большой, загрузите архив на облачный диск и дайте здесь ссылку на скачивание.

Готово

архив загружен, ссылка удалена

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано

Выполните так же скрипт очистки в FRST +полученный карантин добавьте по такой же схеме

rumslava

rumslava

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Выполните так же скрипт очистки в FRST +полученный карантин добавьте по такой же схеме

При нажатии исправить вот что пишет

image.png.89195a5e8c76ec301201aee9ec3cd7f0.png

safety

safety

Опубликовано
Опубликовано

Fixlist не нужен, надо просто скрипт выделить на странице браузера и  скопировать в буфер обмена,

после запуска FRST, дождитесь когда FRST будет готов, и нажмите "Исправить", FRST загрузит скрипт из буфера обмена.

rumslava

rumslava

Опубликовано
  • Автор
Опубликовано (изменено)
31 минуту назад, safety сказал:

Fixlist не нужен, надо просто скрипт выделить на странице браузера и  скопировать в буфер обмена,

после запуска FRST, дождитесь когда FRST будет готов, и нажмите "Исправить", FRST загрузит скрипт из буфера обмена.

Готово

архив загружен, ссылка удалена.

Fixlog.txt

Изменено пользователем safety
архив загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)

По файлам:

f.exe - установщик Mesh agent

https://www.virustotal.com/gui/file/d96dd5413fd6fa0acb531e0f6eb67bf7af0b5444f2f0c7f30d325210a8455c36/detection

 

детект шифровальщика, обратите внимание, что сэмпл был завирусован:

#C77L #Ransomware (infected)

https://www.virustotal.com/gui/file/f3b85f0d416dc4b20a8857b5717fb894edd74cbe1bf240a51b259b8367e4977c/detection

 

 

Для доп. анализа проверьте ЛС

Изменено пользователем safety
rumslava

rumslava

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

По файлам:

f.exe - установщик Mesh agent

https://www.virustotal.com/gui/file/d96dd5413fd6fa0acb531e0f6eb67bf7af0b5444f2f0c7f30d325210a8455c36/detection

 

детект шифровальщика, обратите внимание, что сэмпл был завирусован:

#C77L #Ransomware (infected)

https://www.virustotal.com/gui/file/f3b85f0d416dc4b20a8857b5717fb894edd74cbe1bf240a51b259b8367e4977c/detection

 

 

Для доп. анализа проверьте ЛС

Посмотрите пожалуйста еще один сервер. На нем установили Bitvise ssh clent

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано

По второму серверу:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
FirewallRules: [{5A26EB0D-4F0D-40D0-AAD3-26AF2FFD6089}] => (Allow) C:\Program Files\Mesh Agent\MeshAgent.exe (zersrv.com-4047bc -> ) [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
R2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3484312 2026-03-13] (zersrv.com-4047bc -> ) [Файл не подписан]
2026-03-14 02:18 - 2026-03-14 02:18 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2026-03-13 21:10 - 2026-03-13 21:10 - 003484312 _____ C:\f.exe
2026-03-13 20:24 - 2026-03-14 11:52 - 000000000 ____D C:\Program Files\Mesh Agent
2026-03-13 20:20 - 2026-03-14 02:18 - 000000000 ____D C:\Program Files (x86)\Bitvise SSH Client
2026-03-13 20:20 - 2026-03-13 20:20 - 000002433 _____ C:\Users\Public\Desktop\Bitvise SSH Client.lnk
2026-03-13 20:20 - 2026-03-13 20:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bitvise SSH Client
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

rumslava

rumslava

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

По второму серверу:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
FirewallRules: [{5A26EB0D-4F0D-40D0-AAD3-26AF2FFD6089}] => (Allow) C:\Program Files\Mesh Agent\MeshAgent.exe (zersrv.com-4047bc -> ) [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
R2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3484312 2026-03-13] (zersrv.com-4047bc -> ) [Файл не подписан]
2026-03-14 02:18 - 2026-03-14 02:18 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2026-03-13 21:10 - 2026-03-13 21:10 - 003484312 _____ C:\f.exe
2026-03-13 20:24 - 2026-03-14 11:52 - 000000000 ____D C:\Program Files\Mesh Agent
2026-03-13 20:20 - 2026-03-14 02:18 - 000000000 ____D C:\Program Files (x86)\Bitvise SSH Client
2026-03-13 20:20 - 2026-03-13 20:20 - 000002433 _____ C:\Users\Public\Desktop\Bitvise SSH Client.lnk
2026-03-13 20:20 - 2026-03-13 20:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bitvise SSH Client
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
    • gggPlu
      Шифровальщик на windows server 2008 r2
      Автор gggPlu
      Добрый день. Сегодня утром обнаружили, что за выходные нам зашифровали сервер. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования. Прошу помощи с очисткой и расшифровкой
      Addition.txt FRST.txt virus.rar
    • Дмитрий Екатеринбург
      Поймал шифровальщик, помогите!!!
      Автор Дмитрий Екатеринбург
      Доброго дня. Вчера намотал шифровальщик. Вот текст что в текстовом файле-
      \\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message Mail2 : nullhexxx@gmail.com INCASE OF NO PAYMENT IN 48 HOURS, THE PRICE WILL DOUBLE !! \\\\ Your ID : !!!!!!  Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us!
       
      Верю, что мир не без добрых людей. 
    • Antio
      Зашифровало компьютер
      Автор Antio
      Переустановил windows и поставил программы, после этого диски оказались зашифрованными.
      Addition.txt лог FRST
      В архиве зашифрованные файлы и требование о выкупе.
       
       
      Помогите расшифровать данные.
      FRST.txt pack.zip
    • JIuHkoP
      READ-ME-Nullhexxx.txt
      Автор JIuHkoP
      Добрый день. Зашифровали сервер с данными на 10Тб
      \\\\ All your files are encrypted...
          All your files have been encrypted !!!
          
          To decrypt them send e-mail to this address : nullhex@2mail.co
          
          If you do not receive a response within 24 hours, Send a TOX message
          TOX ID : 
              5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE
          You can access it from here.
          https://tox.chat

      \\\\ Your ID :  {********}
              Enter the ID of your files in the subject !

      \\\\  What is our decryption guarantee ?
          Before paying you can send us up to 2 test files for free decryption !
              
          The total size of files must be less than 2Mb.(non archived) !
              
          Files should not contain valuable information.(databases,backups) !
              
          Compress the file with zip or 7zip or rar compression programs and send it to us
      Есть возможность спасти данные?
×
×
  • Создать...