Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Расшифровка после взлома по RDP

Chiper
 Поделиться

Рекомендуемые сообщения

Chiper Новичок

Chiper

Опубликовано
Опубликовано

Неизвестные взломали тестовый сервер магазина windows 2008 r2. Были зашифрованы файлы типа "aliases.conf.0248kps@tuta". Злоумышленники оставили также в каждой папке инструкцию по восстановлению с ссылкой на кошелек в биткоинах.

Помогите пожалуйста с расшифровкой файлов. 

CollectionLog-2017.08.22-23.21.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

оставили также в каждой папке инструкцию

Этот текстовый файл и пару зашифрованных документов упакуйте и тоже прикрепите к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Увы, это GlobeImposter 2.0 и с расшифровкой помочь не сможем.

 

Файл C:\Users\Администратор\Desktop\123.exe проверьте на www.virustotal.com, ссылку на результат покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Downloads\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Documents\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Desktop\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Downloads\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Documents\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Desktop\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\ProgramData\how_to_back_files.html
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • primely
      Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • MikoTMN
      Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
×
×
  • Создать...