Перейти к содержанию

Шифровальщик [openpgp@foxmail.com] ОС не загружается.

r2d3
 Поделиться

Рекомендуемые сообщения

r2d3 Новичок

r2d3

Опубликовано
Опубликовано (изменено)

Добрый день!
На сервер 1С был пойман шифровальщик, скорее всего через RDP.
Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.


all your data has been locked us
You want to return?
Write email openpgp@foxmail.com

1.jpg

Изменено пользователем r2d3
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

 

1 час назад, r2d3 сказал:

Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows

Такая возможность есть, читайте внимательно правила (по ссылке).

Ссылка на комментарий
Поделиться на другие сайты
r2d3 Новичок

r2d3

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

Да, конечно

12.rar

 

1 час назад, Sandor сказал:

Такая возможность есть, читайте внимательно правила (по ссылке).

Подскажите, об этой возможности идет речь ?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

1 час назад, r2d3 сказал:

об этой возможности идет речь ?

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Ссылка на комментарий
Поделиться на другие сайты
r2d3 Новичок

r2d3

Опубликовано
  • Автор
Опубликовано
22 часа назад, Sandor сказал:

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Логи снять удалось. Подскажите, возможно ли с помощью логов выявить источник заражения и дату?

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
r2d3 Новичок

r2d3

Опубликовано
  • Автор
Опубликовано
15 минут назад, Sandor сказал:

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

Спасибо. Сориентируйте пожалуйста как зачистить систему?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
22 минуты назад, Sandor сказал:

предположительно через учётную запись buh1

Похоже тут вообще хорошо порезвились с 26.06 по 01.07, заходя еще и под buh4, и под buh5, и под glbuh.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Выделите следующий код:
    Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
r2d3 Новичок

r2d3

Опубликовано
  • Автор
Опубликовано
26 минут назад, Sandor сказал:

 

  • Выделите следующий код: 
    
Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Готово.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

30 минут назад, Sandor сказал:

пробуйте войти в нормальном режиме (или в безопасном)

Получилось?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нижнее сообщение - придется вручную пересоздать ярлыки запуска программ и утилит. Верхнее - попробуйте перегрузить.

Ссылка на комментарий
Поделиться на другие сайты
r2d3 Новичок

r2d3

Опубликовано
  • Автор
Опубликовано
08.07.2020 в 20:22, Sandor сказал:

вручную пересоздать ярлыки

Пробовал, все программы зашифрованы. Размер файлов сильно разнится, объем жесткого диска показывает не корректно. Какие будут дальнейшие шаги?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это уже проблемы с системными файлами. Если вы не планируете переустановку системы, а хотите восстановить существующую, обратитесь в соседний раздел.

Ссылку на эту тему там укажите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alen4iz
      ПК видит флешку, но не загружает ее
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...