Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Windows Server 2008 подцепил шифровальщик

Близнец
 Поделиться

Рекомендуемые сообщения

Близнец Новичок

Близнец

Опубликовано
Опубликовано

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txt FRST.txt Зашифрованные файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
Близнец Новичок

Близнец

Опубликовано
  • Автор
Опубликовано

Забыл написать dr web cureit нашел шесть файлов .259.ехе в разных папках с пометкой Trojan.Encoder.3953

Это наверно и был шифровальщик.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет.

 

1 час назад, Близнец сказал:

нашел шесть файлов .259.ехе в разных папках

Он по-прежнему виден в логах.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-10-29] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [.259.exe] => C:\Users\Admin\AppData\Roaming\.259.exe [94720 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-29] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
2020-10-30 13:32 - 2020-10-30 13:32 - 000094720 _____ C:\Users\Admin\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000094720 _____ C:\Users\kassa\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000013913 _____ C:\Users\kassa\AppData\Roaming\Info.hta
2020-10-30 09:11 - 2020-10-30 09:11 - 000000166 _____ C:\Users\kassa\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-30 13:32 - 000013913 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2020-10-29 14:48 - 2020-10-30 13:32 - 000000166 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
2020-10-29 14:46 - 2020-10-29 14:49 - 000094720 _____ C:\Windows\system32\.259.exe
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Два администратора - все ваши?

Цитата

Admin (S-1-5-21-2079522519-528511511-1509269051-1005 - Administrator - Enabled) => C:\Users\Admin
Adnin (S-1-5-21-2079522519-528511511-1509269051-1006 - Administrator - Enabled) => C:\Users\Adnin.SERVER

 

 

1 час назад, Близнец сказал:

Видать через RDP

Пароль смените.

Ссылка на комментарий
Поделиться на другие сайты
Близнец Новичок

Близнец

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Я dr web запускал уже после утилит. Я думаю скрипт не выполнять, т.к. все равно систему буду переустанавливать, извините что сразу не написал.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 месяца спустя...
Андрей Андроид Новичок

Андрей Андроид

Опубликовано
Опубликовано
30.10.2020 в 11:40, Близнец сказал:

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txtНедоступно FRST.txtНедоступно Зашифрованные файлы.zipНедоступно

Добрый день удалось ли восстановить бухгалтерскую базу?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Андрей Андроид, здравствуйте!

По правилам этого раздела вы не можете писать в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Или спрашивайте через ЛС.

Закрыто.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • jangur
      Зашифрованы файлы windows server 2019
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
    • VaDima32
      Ночью зашифровали сервер на Windows Server 2019. Все файлы с расширением .SyMat
      Автор VaDima32
      Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
      Заранее спасибо. 
      Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    
      Логи.zip Архив.zip
    • vasili_rb
      После трояна не работают службы обновления windows server 2022
      Автор vasili_rb
      Добрый вечер.
      Прошу помочь знающих людей.
      Поймал трояна. Антивирусом вычистил, но не работают службы обновления Windows.
      Заранее спасибо.
      Дополнение:
      возможно удалились службы...
      Либо троян что то с ними сделал...
    • Yuriyqwe
      Подцепил майнер убийцу
      Автор Yuriyqwe
      Подцепил майнер, при попытках обнаружения или фикса программами перезагружает пк и все изменения откатываются. Также не дает переустановить виндовс и форматировать диск. Все возвращается к определенной точке. 
    • Tarnum
      KSOS 21.3 убил Windows Server 2016
      Автор Tarnum
      Возможно, кто-нибудь сталкивался с подобной проблемой? Начал ставить триальную версию KSOS 21.3 на Microsoft Windows Server 2016, официальный установщик обнаружил на сервере несовместимое ПО (Defender - т.е. защитник Windows) и начал его удалять, после чего предложил перезагрузить сервер (сам KSOS при этом даже ещё не начал устанавливаться!). После перезагрузки сервер больше не загружается, выпадает в BSOD (Critical Porocess Died), пробовал безопасный режим - тот же BSOD. Пускает только в командную строку консоли восстановления, но образа системы нет, восстанавливать неоткуда и всё это случилось, что называется, "на ровном месте".
      В общем, я попал. Наверное, придётся увольняться с работы, не знаю, что делать, если до 20 января (ближайший понедельник) никто ничего не посоветует, придётся устанавливать сервер с нуля, и надеяться, что хоть какие-то данные на диске уцелели... :-(
×
×
  • Создать...