Перейти к содержанию

В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]

AndrewCott
 Share

Рекомендуемые сообщения

AndrewCott Новичок

AndrewCott

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Ещё раз удалите старые и соберите новые логи FRST, только предварительно отметьте галочкой "90 Days Files".

Вот, сделал. 

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

22 минуты назад, AndrewCott сказал:

У нас они (how to decrypt.hta) практически везде и в каждой папке.

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
20.11.2020 в 13:26, Sandor сказал:

Меняйте пароли на RDP и на учётные записи администраторов.

Сменили?

 

20.11.2020 в 13:26, Sandor сказал:

Проверьте разрешения в фаерволе на эти порты:

Проверили? Разрешения в последнем логе по-прежнему есть.

Ссылка на комментарий
Поделиться на другие сайты
AndrewCott Новичок

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Сделал

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
AndrewCott Новичок

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Сменили?

 

Проверили? Разрешения в последнем логе по-прежнему есть.

Порты не могу закрыть, через них сидят удалённые сотрудники. Пароли все изменил. Всех пользователей перепроверил, неизвестных удалил. Заметил, что появлялся некий "Admim" дважды. Его удалил и поменял после этого все пароли. На данный момент ничего 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • zupostal
      шифровальщик FrankViskerson@mailfence.com
      От zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • dmg
      Шифровальщик {FrankViskerson@mailfence.com} ID[001B21643D14].locked
      От dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • SergAstra
      Поймали шифровальщика FrankViskerson@mailfence.com
      От SergAstra
      Здравствуйте в ночь зашифровались файлы на windows server 2016.
      Бекапный диск так же зашифрован.
      Текстовый файл для выкупа:
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      Пример зашифрованного файла прикрепил.
      Добавил образ автозапуска системы в uVS.  
       
      Помогите с попыткой расшифровки, какие скрипты попробовать?
      WIN-IQBSS78MVIR_2024-09-30_09-38-55_v4.99.1v x64.7z карточка партнера Кравченко.doc.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].rar
    • Maximus-x
      шифровальщик FrankViskerson@mailfence.com
      От Maximus-x
      Здравствуйте в ночь зашифровались файлы на windows server 2016, работа парализована.
      система не переустанавливалась. Бекапный диск так же зашифрован и не видится.
      окно с просьбой прислать денег.
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      пример зашифрованных файлов со стандартным паролем во вложении.

      Пассс.txt.{FrankViskerson@mailfence.com} ID[0AE0AFB5000B001].rar
       
      Addition.txt FRST.txt
    • Shersh
      Шифровальщик {FrankViskerson@mailfence.com}
      От Shersh
      Доброго времени суток!
      Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt
×
×
  • Создать...