Перейти к содержанию

Взломали по RDP, зашифровали все файлы, возможно ли расшифровать?


Рекомендуемые сообщения

Опубликовано

Добрый день, взломали по rdp, два раза ПК блокировался, после входа уже все было зашифровано, антивирус отключен, восстановление файлов отключено, диск на 100 % грузил процесс Stub.exe из папки на рабочем столе 3165CCC2798D9F4D, помимо этого была установлена программа advanced_ip_scaner(в день взлома, до этого не было ее). Что было сделано на панике: процесс Stub.exe прерван, восстановлен антивирус, удалена папка 3165CCC2798D9F4D с рабочего стола, антивирус позже нашел вирус Trojan:Win32/CriptInject в папке C:\Users\user\Pictures\24122024\5-NS new.exe и ещё один Trojan:Win32/Fragtor!AMTB в папках C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\Win32-Release\Stub.exe и C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\x64-Release\Stub.exe , папки 24122024 и 3165CCC2798D9F4D удалены. Полная проверка антивируса(стандартный win10) не дала больше результатов, архивы делались через "Архивация и восстановление"(Windows 7), при открытии папки всё оказалось тоже зашифровано. Во вложении логи анализа системы при помощи Farbar Recovery Scan Tool, два небольших файла зашифрованных, текстовый файл о выкупе который был во всех папках. Пароль virus

Шифровали именно зайдя по RDP, первый раз какая то папка была открыта, второй раз службы - самостоятельно их не открывали), почему так случилось понятно, главный вопрос можно ли расшифровать за вменяемые деньги? Из критичных данных базы 1с и немного файлов ворд/эксель. С шифраторами еще не связывался.

Desktop.zip

  • Like (+1) 1
Опубликовано

Архив остался со Stub.exe? Файлы надо архивировать с паролем virus. загрузите архив на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано (изменено)

Нет, Stub.exe удален. Ссылка на яндекс диск

Во вложении логи анализа системы при помощи Farbar Recovery Scan Tool, два небольших файла зашифрованных, текстовый файл о выкупе который был во всех папках. Пароль virus

Изменено пользователем safety
ссылка удалена
Опубликовано (изменено)

Этот архив уже есть во вложении в первом сообщении.

Для доп. анализа проверьте ЛС.

----------

По данному типу не сможем помочь с  расшифровкой файлов.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Like (+1) 1
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Антон.Б
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • tentacruel74
      Автор tentacruel74
      Поймали на ПК шифровальщик протон вроде как, можно ли восстановить данные?
      Пароль на архив virusFRST_22-06-2026 14.24.59.txtAddition_22-06-2026 15.17.29.txt
      123.rar
    • R-r-r
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • Bek777
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • mkozlenko
      Автор mkozlenko
      Добрый день! 
      У знакомых проникли на сервер 1С через подбор учетки по RDP.
      Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
      Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
      Попробовала все существующие программы по раскодированию.
      На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 
      Аналогичный запрос уже есть на форуме.
       
      Помогите. пожалуйста.
       
      ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
      Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
       
       
      CollectionLog-2016.11.17-13.16.zip

      переписка.txt
      Пример файла с вирусом.rar
×
×
  • Создать...