Перейти к содержанию

Шифровальщик .foster


Рекомендуемые сообщения

На сервере Windows Server 2008 R2 установлен лицензионный Касперский Small Office Security.
Вчера 13.10.2017 на сервере произошла зашифровка всех баз 1С и файлов с документами.
Шифровальщик отключил антивирус (наверно для этого использовал программу Process Hacker 2 т.к. я ее не ставил а она установлена вчерашним числом).
Поясните как так получилось?! (пароль администратора сервера очень сложный и его знаю только я и не когда его не где не сохранял не в каких файлах). Можете ли вы нам помощь в расшифровке?
К заявке приложил один зашифрованный файл и html страницу с текстом который оставил шифровальщик.
p.s.
- У нас есть еще три сервера и там тоже стоят лицензионные антивирусы Small Office Security. На этих серверах пока все в порядке, но теперь мы опасаемся что и они не защищены.
- Бэкапы доков и баз 1С есть, но есть файлы на рабочих столах юзеров которые не бэкапились и хотелось бы их расшифровать.
- Жулики запросили 1 биткоин за расшифровку

Files.zip

Ссылка на комментарий
Поделиться на другие сайты

@proficit,

1) С рассшифровкой помочь не сможем.

2)

 

 


- У нас есть еще три сервера и там тоже стоят лицензионные антивирусы Small Office Security. На этих серверах пока все в порядке, но теперь мы опасаемся что и они не защищены.
создайте тему в разделе Помощь по продуктам Лаборатории Касперского вам помогут правильно их настроить для защиты от шифровальщиков.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

IPSec - сами настраивали?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File
    CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File
    CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File
    CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File
    ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Администратор\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File)
    GroupPolicy: Restriction <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
 
Ссылка на комментарий
Поделиться на другие сайты

IPSec - не настраивал. Сервер в аренде в дата центре.


а зачем вы пофиксили Cloud Mail.Ru? с помощью его я бэкапы в облако загоняю...

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


а зачем вы пофиксили Cloud Mail.Ru?
Потому что эти записи реестра ссылались на пустоту.

 


Temp\2\mcse64_00.dll => No File


Возможно вирус задел его. Если он вам нужен, то лучше переустановить его.

 


IPSec - не настраивал.
Выполните тогда ещё такой скрипт

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Andrew Vi Ch
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dampe
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Kirill-Ekb
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
×
×
  • Создать...