Перейти к содержанию

Расшифровка после взлома по RDP

Chiper
 Share

Рекомендуемые сообщения

Chiper Новичок

Chiper

Опубликовано
Опубликовано

Неизвестные взломали тестовый сервер магазина windows 2008 r2. Были зашифрованы файлы типа "aliases.conf.0248kps@tuta". Злоумышленники оставили также в каждой папке инструкцию по восстановлению с ссылкой на кошелек в биткоинах.

Помогите пожалуйста с расшифровкой файлов. 

CollectionLog-2017.08.22-23.21.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

оставили также в каждой папке инструкцию

Этот текстовый файл и пару зашифрованных документов упакуйте и тоже прикрепите к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Увы, это GlobeImposter 2.0 и с расшифровкой помочь не сможем.

 

Файл C:\Users\Администратор\Desktop\123.exe проверьте на www.virustotal.com, ссылку на результат покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Downloads\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Documents\how_to_back_files.html
2017-08-21 00:56 - 2017-08-21 00:56 - 000005450 _____ C:\Users\Юрист\Desktop\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Downloads\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Documents\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Магазин\Desktop\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-08-21 00:46 - 2017-08-21 00:46 - 000005450 _____ C:\ProgramData\how_to_back_files.html
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • lex-xel
      Сервер подвергся взлому
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
×
×
  • Создать...