Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Поймал шифровальщика через RDP .r9Zw10Hg

Антон.Б
 Поделиться

Рекомендуемые сообщения

Антон.Б

Антон.Б

Опубликовано
Опубликовано (изменено)

Установлен корпоративный KES . через RDP перебором (слабый пароль был :( ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.

С Уважением Антон

Xyd3RcAk4M.rar

Изменено пользователем Антон.Б
safety

safety

Опубликовано
Опубликовано

Если систему сканировали KVRT, Cureit, штатным антивирусом добавьте отчеты по обнаружению, в архиве, без пароля.

Так же выполните поиск на системном диске файлов с именем Stub,exe, Stub64.exe, Stub*.exe

Если будут найдены, добавьте в архив с паролем virus, архив добавьте в ваше сообщение.

Антон.Б

Антон.Б

Опубликовано
  • Автор
Опубликовано
4 часа назад, safety сказал:

Если систему сканировали KVRT, Cureit, штатным антивирусом добавьте отчеты по обнаружению, в архиве, без пароля.

Так же выполните поиск на системном диске файлов с именем Stub,exe, Stub64.exe, Stub*.exe

Если будут найдены, добавьте в архив с паролем virus, архив добавьте в ваше сообщение.

Нашел данный файл.

Stub.rar

 

Обнаружили зашифрованный сервер. тем же шифровальщиком :( файлы прилагаю.файлов Stub не обнаружено

Server.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Сэмпо уже засветился на Vrusyototal, это Proton,

#Proton / #Shinra #Ransomware

https://www.virustotal.com/gui/file/332c01b04aa83ef1ebf998e9ac055bc97d3da6d7c291646df5b8c36ceefa4e5e/detection

 

по серверу:

 

В этой папке смотрели что там есть?

2026-06-15 02:58 - 2026-06-15 05:36 - 000000000 ____D C:\Users\Администратор\Desktop\24122024

 

по очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys (Нет файла)
2026-06-15 05:38 - 2026-06-15 05:38 - 002899254 _____ C:\ProgramData\EB24AF392015C035.bmp
2026-06-15 02:58 - 2026-06-15 05:36 - 000000000 ____D C:\Users\Администратор\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено пользователем safety
Антон.Б

Антон.Б

Опубликовано
  • Автор
Опубликовано (изменено)
15 часов назад, safety сказал:

В этой папке смотрели что там есть?

2026-06-15 02:58 - 2026-06-15 05:36 - 000000000 ____D C:\Users\Администратор\Desktop\24122024

****

папка 24122024

 

Добавил папку Quuarantine и Fixlog

 

****

Fixlog.txt

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)
34 минуты назад, Антон.Б сказал:

папка 24122024

В этой папке все и лежит, в том числе и Stub.exe

 

С расшифровкой по данному типу, к сожалению, не сможем помочь без приватного ключа.

Цитата

Обнаружили зашифрованный сервер. тем же шифровальщиком

Обратите внимание, что на каждом из зашифрованных устройств будут разные ключи шифрования.

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется когда-нибудь до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено пользователем safety
Антон.Б

Антон.Б

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

В этой папке все и лежит, в том числе и Stub.exe

 

С расшифровкой по данному типу, к сожалению, не сможем помочь без приватного ключа.

Обратите внимание, что на каждом из зашифрованных устройств будут разные ключи шифрования.

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется когда-нибудь до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Спасибо за помощь, отрицательный опыт получен. будем умнее :)

safety

safety

Опубликовано
Опубликовано (изменено)

по файлу Stub64.exe

https://www.virustotal.com/gui/file/5aa3bd7b8512b0d7e81bb862799c17e86dbcad0afb146ce4bd9b728ae540323f?nocache=1

 

Лучше на чужих ошибках учиться, видите сколько страниц в разделе с отрицательным опытом. :). Но видимо так устроен человек, что понимание обостряется только в результате личного опыта.

Изменено пользователем safety
  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Valek777
      зашифрованы файлы
      Автор Valek777
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 419D9A8EFC43B7B3A621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 419D9A8EFC43B7B3A621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.27-22.57.zip
    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • Bek777
      компьютер-сервер 1С поймал шифровальщик
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
×
×
  • Создать...