Перейти к содержанию

Шифровальщик lockme зашифровал все шары NAS. Трабл в опасной RCE-уязвимости в RouterOS на MikroTikах.

Nemytchenkov
 Поделиться

Рекомендуемые сообщения

Nemytchenkov Новичок

Nemytchenkov

Опубликовано
Опубликовано

Шифровальщик .lockme зашифровал все шары NAS.

 

изучая понял, что проблема была в роутере Mikrotik, точнее в опасной RCE-уязвимости, найденной в RouterOS, на устройствах латвийского производителя MikroTik.  

 

https://xakep.ru/2018/03/19/mikrotik-rce/

 

Прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

 

логи во вложении

 

 

прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

Ссылка на комментарий
Поделиться на другие сайты
Nemytchenkov Новичок

Nemytchenkov

Опубликовано
  • Автор
Опубликовано

Шифровальщик .lockme зашифровал все шары NAS.

 

изучая понял, что проблема была в роутере Mikrotik, точнее в опасной RCE-уязвимости, найденной в RouterOS, на устройствах латвийского производителя MikroTik.  

 

https://xakep.ru/2018/03/19/mikrotik-rce/

 

Прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

 

логи во вложении

 

 

прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

так точно. не нажал загрузить. исправлено. логи в аттаче.

логи во вложении
Кнопку "Загрузить" видимо не нажали.

 

CollectionLog-2018.04.07-12.41.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Nemytchenkov Новичок

Nemytchenkov

Опубликовано
  • Автор
Опубликовано

Не знаю , после перезагрузки роутера и думаю следа от него не осталось ((( все же описывали коллеги вот здесь https://xakep.ru/2018/03/19/mikrotik-rce/ 

хотя не знаю, может где на разделах закодированного Linux NAS сервера остался.

я NAS выключил и более, до понимания как его расшифровать не включал 

 

 

 

А сам шифровальщик сохранился?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

все же описывали коллеги вот здесь https://xakep.ru/201.../mikrotik-rce/

Уязвимость и что? Использовать уязвимость мог кто угодно для загрузки чего либо на исполнение.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Nemytchenkov Новичок

Nemytchenkov

Опубликовано
  • Автор
Опубликовано

Хорошо. Как и где его искать? К сожалению я не спец. , но все что поможет раскодировать мои файлы готов предоставить

дайте вектор куда глядеть ;)

 

 

 

 

все же описывали коллеги вот здесь https://xakep.ru/201.../mikrotik-rce/

Уязвимость и что? Использовать уязвимость мог кто угодно для загрузки чего либо на исполнение.

 

Ссылка на комментарий
Поделиться на другие сайты
  • 5 месяцев спустя...
Intrerio Новичок

Intrerio

Опубликовано
Опубликовано

Сегодня утром пришли в офис и та же ситуация. Все файлы на D'link NAS 325 зашифрованы с расширением lockme. Все договора, базы клиентов и прочее ушло в забытие.Ни у кого нет решения данной проблеммы?

Ссылка на комментарий
Поделиться на другие сайты
  • 1 год спустя...
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • Kachura
      шифровальщик proton (зашифровано устройство)
      Автор Kachura
      Доброго дня.
      Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
      Спасибо 
      #HowToRecover.txt Addition.txt arh.rar FRST.txt
    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
×
×
  • Создать...