Перейти к содержанию

Рекомендуемые сообщения

Добрый день! В одно прекрасное утро перестали открываться файлы общего доступа на сервере. Подключившись к серверу увидел, что все файлы зашифрованы и в каждой папке есть файл "how_to_decrypt.hta" После сканирования диска "С" утилитой Kaspersky Virus Removal Tool было выявлено 3 вируса (скрин во вложении) Помогите дешифровать файлы, если это возможно. Хотелось бы еще узнать, каким образом он мог туда попасть?

логи и файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

7 минут назад, deklan сказал:

каким образом он мог туда попасть?

 

Слишком много администраторов:

Цитата

Admim (S-1-5-21-2779458527-3332761353-1146412090-1016 - Administrator - Enabled) => C:\Users\Admim
User (S-1-5-21-2779458527-3332761353-1146412090-1010 - Administrator - Enabled) => C:\Users\User
User1 (S-1-5-21-2779458527-3332761353-1146412090-1011 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-2779458527-3332761353-1146412090-1012 - Administrator - Enabled) => C:\Users\User2
User3 (S-1-5-21-2779458527-3332761353-1146412090-1013 - Administrator - Enabled) => C:\Users\User3
User4 (S-1-5-21-2779458527-3332761353-1146412090-1014 - Administrator - Enabled) => C:\Users\User4
User5 (S-1-5-21-2779458527-3332761353-1146412090-1015 - Administrator - Enabled) => C:\Users\User5
Администратор (S-1-5-21-2779458527-3332761353-1146412090-500 - Administrator - Enabled) => C:\Users\Администратор

 

и программ удалённого управления:

Цитата

AnyDesk

Radmin Server 3.4

TeamViewer 6

не считая вероятного подключения через RDP.

Везде меняйте пароли, в т.ч. на учётные записи.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Без ключей такой файл бесполезен. На всякий случай упакуйте его с паролем и отправьте мне в ЛС.

Эту тему закрываю.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • DeniTornado
      Автор DeniTornado
      Доброго всем!
      Коллеги, а кто-нибудь использует KES на своих RDS серверах? Все нормально с работой серверов?
       
      Дано:
      - несколько RDS на Windows Server 2019
      - на них установлен KES 12.1.0.506
       
      Проблема:
      Вот уже в течении нескольких дней подряд наблюдаю утром проблему пока только на RDS (на остальных серверах пока все нормально - служебные серверы для определенных целей). То один сервер, то второй, то третий - утром когда все пользователи заходят на свои рабочие столы (почти все у нас работают на терминальных серверах со своих тонких клиентов), зайти не могут! Сервер тупо не отвечает на запросы. RDSы - это виртуальные машины на Hyper-V. Приходится через консоль Hyper-V перезагружать виртуалку и тогда она или после первой перезагрузки или после второй начинает пускать пользователей.
      Самое интересное что в логах ни чего такого, что указало бы на проблему. ТП в собранных логах ни чего криминального не видит
       
      До установки KES такого не было ни когда! Раньше пользовались другим известным антивирусом вообще не знали таких симптомов и проблем.
      Есть у кого схожие проблемы на RDS?
       
      И еще такой вопрос: на RDS серверах я использую скрытый режим работы KES - в настройках политики для RDSов отключил интерфейс. Не за чем пользователям его видеть в трее Windows. Но при такой настройке становится недоступна проверка из контекстного меню WIndows файлов на вирусы - эти менюшки серые и их не нажать. Можно как-то и скрыть KES, но при этом и функция проверки из контекстного меню была доступна?
    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • dpk
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
×
×
  • Создать...