Перейти к содержанию

Рекомендуемые сообщения

Добрый день!
На сервер 1С был пойман шифровальщик, скорее всего через RDP.
Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.


all your data has been locked us
You want to return?
Write email openpgp@foxmail.com

1.jpg

Изменено пользователем r2d3
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

 

1 час назад, r2d3 сказал:

Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows

Такая возможность есть, читайте внимательно правила (по ссылке).

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Здравствуйте!

 

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

Да, конечно

12.rar

 

1 час назад, Sandor сказал:

Такая возможность есть, читайте внимательно правила (по ссылке).

Подскажите, об этой возможности идет речь ?

Ссылка на сообщение
Поделиться на другие сайты

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

1 час назад, r2d3 сказал:

об этой возможности идет речь ?

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, Sandor сказал:

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

 

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Логи снять удалось. Подскажите, возможно ли с помощью логов выявить источник заражения и дату?

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
15 минут назад, Sandor сказал:

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

Спасибо. Сориентируйте пожалуйста как зачистить систему?

Ссылка на сообщение
Поделиться на другие сайты
22 минуты назад, Sandor сказал:

предположительно через учётную запись buh1

Похоже тут вообще хорошо порезвились с 26.06 по 01.07, заходя еще и под buh4, и под buh5, и под glbuh.

Ссылка на сообщение
Поделиться на другие сайты

  • Выделите следующий код:
    Start::
    HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
    HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
    Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
    Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
    Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
    Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
    2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
    2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
    2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
    2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
    2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
    2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
    2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, Sandor сказал:

 

  • Выделите следующий код:
    
    Start::
    HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
    HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
    Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
    Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
    Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
    Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
    2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
    2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
    2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
    2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
    2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
    2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
    2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.
 

Готово.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

30 минут назад, Sandor сказал:

пробуйте войти в нормальном режиме (или в безопасном)

Получилось?

Ссылка на сообщение
Поделиться на другие сайты

Нижнее сообщение - придется вручную пересоздать ярлыки запуска программ и утилит. Верхнее - попробуйте перегрузить.

Ссылка на сообщение
Поделиться на другие сайты
08.07.2020 в 20:22, Sandor сказал:

вручную пересоздать ярлыки

Пробовал, все программы зашифрованы. Размер файлов сильно разнится, объем жесткого диска показывает не корректно. Какие будут дальнейшие шаги?

Ссылка на сообщение
Поделиться на другие сайты

Это уже проблемы с системными файлами. Если вы не планируете переустановку системы, а хотите восстановить существующую, обратитесь в соседний раздел.

Ссылку на эту тему там укажите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От megabublik
      Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...
       

      CollectionLog-2020.10.29-11.48.zip
    • От sanyko
      Добрый день. Был заражён рабочий ПК и зашифрованы бОльшая часть файлов. Если есть возможность расшифровать файлы буду очень признателен за информацию. Есть оригинальные и зашифрованные файлы. Прикрепляю их к посту. Спасибо.files.rar
    • От rsvkondr
      Здравствуйте! поймали шифровальщик harma. На компьютере стоял Kaspersky Endpoint Security 11. Все файлы зашифровались. Просим помощи.
       
      Virus_system32.7z LOG.rar Зараженные файлы.rar
    • От msk.dmit
      Здравствуйте.
      Файлы на компьютере оказались зашифрованы, сможете помочь?
      Файл в архиве прикладываю.
      Спасибо. 
      С уважением, Дмитрий
      Счет на оплату № 328 от 24 августа 2020 г.pdf.id-F07CBFFB.[lpe-cve@usa.com].zip
    • От Aleksandrrrr
      Добрый день!
      Помогите восстановить файлы на компьютере после вируса blacklivesmatter.
      Проверка с помощью Kaspersky Rescue ничего не показала (вирус не найден). AdwCleaner тоже ничего не нашел.
      Логи во вложении. Образцы (один .xls и два .jpg файла) в архиве. Могу также скинуть НЕЗАШИФРОВАННЫЕ версии данных файлов.
      Заранее спасибо!
      Addition.txt blm.zip FRST.txt
×
×
  • Создать...