Перейти к содержанию

сервер поймал how_to_decrypt.hta flydragon

deklan
 Поделиться

Рекомендуемые сообщения

deklan

deklan

Опубликовано
Опубликовано

Добрый день! В одно прекрасное утро перестали открываться файлы общего доступа на сервере. Подключившись к серверу увидел, что все файлы зашифрованы и в каждой папке есть файл "how_to_decrypt.hta" После сканирования диска "С" утилитой Kaspersky Virus Removal Tool было выявлено 3 вируса (скрин во вложении) Помогите дешифровать файлы, если это возможно. Хотелось бы еще узнать, каким образом он мог туда попасть?

логи и файлы.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

7 минут назад, deklan сказал:

каким образом он мог туда попасть?

 

Слишком много администраторов:

Цитата

Admim (S-1-5-21-2779458527-3332761353-1146412090-1016 - Administrator - Enabled) => C:\Users\Admim
User (S-1-5-21-2779458527-3332761353-1146412090-1010 - Administrator - Enabled) => C:\Users\User
User1 (S-1-5-21-2779458527-3332761353-1146412090-1011 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-2779458527-3332761353-1146412090-1012 - Administrator - Enabled) => C:\Users\User2
User3 (S-1-5-21-2779458527-3332761353-1146412090-1013 - Administrator - Enabled) => C:\Users\User3
User4 (S-1-5-21-2779458527-3332761353-1146412090-1014 - Administrator - Enabled) => C:\Users\User4
User5 (S-1-5-21-2779458527-3332761353-1146412090-1015 - Administrator - Enabled) => C:\Users\User5
Администратор (S-1-5-21-2779458527-3332761353-1146412090-500 - Administrator - Enabled) => C:\Users\Администратор

 

и программ удалённого управления:

Цитата

AnyDesk

Radmin Server 3.4

TeamViewer 6

не считая вероятного подключения через RDP.

Везде меняйте пароли, в т.ч. на учётные записи.

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Без ключей такой файл бесполезен. На всякий случай упакуйте его с паролем и отправьте мне в ЛС.

Эту тему закрываю.

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Akaruz
      Поймали шифровальщик на сервере
      Автор Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
    • slot9543
      Поймали шифровальщика на сервер
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • umid
      Сервер поймал Щифровальщика
      Автор umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • chernikovd
      Поймали шифровальщика на несколько серверов
      Автор chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
×
×
  • Создать...