Перейти к содержанию

Взломали и зашифровали рабочие файлы

DIANAT
 Поделиться

Рекомендуемые сообщения

DIANAT

DIANAT

Опубликовано
Опубликовано

Неизвестные "товарищи" проникли на комп, зашифровали файлы необходимые в ежедневной трудовой деятельности. Расщирение файлов стало .omerta. Укокошены файлы pdf. excel. pst. базы данных... Как обычно предложение приобрести Декриптор. Логи сделал. 

Возможно с этим кто-то уже сталкивался и сможет помочь.

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи сделал

Вероятно не нажали кнопку "Загрузить".
Sandor

Sandor

Опубликовано
Опубликовано

Обновления системы ставятся?

Заражение произошло точно на этом компьютере?

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

DIANAT

DIANAT

Опубликовано
  • Автор
Опубликовано

Система обновляется.

Заражение началось с этого компа (с него сканы), а потом "перекинулось" на сервак и там похозяйничало...


После перекодировки оставляет текстовый файл в каждой папке

Addition.txt

FRST.txt

READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT

Sandor

Sandor

Опубликовано
Опубликовано

С расшифровкой помочь не сможем.

Смените пароли на RDP.

 

Файл

C:\HKEY_USERS.reg

аккуратно упакуйте в архив и прикрепите к следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • specmont
      Зашифровало все рабочие файлы на серверах оффиса
      Автор specmont
      В пятницу все было нормально. В понедельник на всех серверах и файловом хранилище типа Synology все файлы оказались зашифрованными, к ним добавилось расширение ".loplup.1B5-77D-C3D" и в каждой папке лежит текстовый файл с названием !!! ALL YOUR FILES ARE ENCRYPTED !!! Файл вируса называется Zeppelin.exe Кроме того зашифрованы бэкапы систем серверов. Архив с файлами логов Farbar Recovery письмом и зашифрованными файлами находятся по ссылке: https://disk.yandex.ru/d/IGIE8Cnl0fRQjA
       
       
    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      Автор Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
    • drexdey
      Взломали сервер и зашифровали файлы, теперь они все с окончание .innok
      Автор drexdey
      Взломали сервер и зашифровали файлы, теперь они имеют вид .innok, Не знаем, что делать и куда обращаться, надеюсь на вашу помощь. Файлы прилагаю к данному посту
      ззашифрованные.rar Addition.txt FRST.txt
    • KasatkinMihail
      Зашифровали рабочий сервер
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
    • cringemachine
      Распространение bat-файла на рабочие станции
      Автор cringemachine
      Коллеги, добрый день.
       
      Есть bat-файл, который создает на сетевом диске директорию и в нее копирует (должен копировать) журнал Безопасность – нужны админские права. 
      Также, в качестве теста в него добавлена строка для копирования текстового файла (txt) в созданную директорию – не нужны админские права.
       
        mkdir \\192.168.0.5\temp\KasperskyEventLog\%computername%   copy %SystemRoot%\System32\Winevt\Logs\"Kaspersky Event Log.evtx" \\192.168.0.5\temp\KasperskyEventLog\%computername%\"Kaspersky Event Log.evtx"   copy C:\Users\testuser\Desktop\1.txt \\192.168.0.5\temp\KasperskyEventLog\%computername%\1.txt  
      При запуске скрипта локально с указанием админской УЗ скрипт отрабатывает корректно и оба файла (Журнал Безопасность и текстовый файл) копируются на сетевой диск.
       
      При распространении скрипта посредством KSC через задачу Удаленная установка программы копируется только текстовый файл, т.е. прав не хватает.
      Попробовал разные сценарии – С помощью Агента администрирования (с указанием админской УЗ), Средствами операционной системы с помощью Сервера администрирования (с указанием админской УЗ).
      Результат один – копируется только текстовый файл.
       
      Может быть кто-то владеет опытом распространения bat-файла для исполнения которого требуются админские прав.
×
×
  • Создать...