Перейти к содержанию

шифровальщик HARMA

Павел Семенов

Автор Павел Семенов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Павел Семенов

Павел Семенов

Опубликовано
Опубликовано

Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо.


Вот лог

CollectionLog-2019.08.17-13.27.zip

thyrex

thyrex

Опубликовано
Опубликовано

Ярлык

C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk

 

, который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?

Павел Семенов

Павел Семенов

Опубликовано
  • Автор
Опубликовано (изменено)

Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все?

Изменено пользователем Павел Семенов
thyrex

thyrex

Опубликовано
Опубликовано

Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.

Павел Семенов

Павел Семенов

Опубликовано
  • Автор
Опубликовано (изменено)

Поиск говорит нет такого...  Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь

Изменено пользователем Павел Семенов

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...