Перейти к содержанию
Важная информация для бета-тестеров

На сервер проник шифровальщик scarab

felixusekb
 Share

Рекомендуемые сообщения

felixusekb Новичок

felixusekb

Опубликовано
Опубликовано

Доброго времени суток! Сегодня с утра возникла проблема, не запускается SQL, файлы зашифрованы .scarab, ну и соответственно текстовики с информацией о выкупе ключей. Подскажите что делать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет. Для проверки и очистки возможного заражения и следов вымогателя выполните:

Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
felixusekb Новичок

felixusekb

Опубликовано
  • Автор
Опубликовано

В систему проник вирус и зашифровал файлы, дописал свое расширение .scarab и раскидал везде текстовые файлы с информацией, файл тоже прилагается, посадил работу SQL сервера и 1С. Файл логов прилагается. Проблема возникла сегодня с утра после перезагрузки сервера.

CollectionLog-2018.03.01-12.12.zip

Инструкция по расшифровке файлов.TXT

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Еще во втором сообщении темы было написано, что расшифровки нет.

 

Пароль от RDP, через который к Вам и попали ночью, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-03-01 03:59 - 2018-03-01 03:59 - 000003869 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT.scarab
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Гость\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 07:57 - 2018-03-01 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Enigma Software Group
2018-03-01 07:57 - 2018-03-01 07:57 - 000003372 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2018-03-01] (Enigma Software Group USA, LLC.)
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AntOgs
      Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok
      От AntOgs
      Добрый день! Помогите расшифровать данные.
      Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
      Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
      После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
      Буду благодарен за любую помощь в расшифровке.
      Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar
    • foroven
      Шифровальщик ooo4ps зашифровал сервер.
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • luzifi
      шифровальщик инок на сервере
      От luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      От lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      часть файлов зашифровано ,но больше беспокоит что два диска зашифрованы битлокером
×
×
  • Создать...