Перейти к содержанию

[РАСШИФРОВАНО] Поймали шифровальшик на сервер

s.evgeny.a
 Поделиться

Рекомендуемые сообщения

s.evgeny.a Новичок

s.evgeny.a

Опубликовано
Опубликовано (изменено)

Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю

Файлы.rar

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
  • s.evgeny.a изменил название на Поймали шифровальшик на сервер
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Попробуйте найти пару: зашифрованный и его не зашифрованный оригинал. Ищите такой на других ПК, в почте, в резервной копии и т.п.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2021-09-03] () [Файл не подписан]
2021-09-03 17:06 - 2021-09-03 17:06 - 000001023 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Downloads\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Documents\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Desktop\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
FirewallRules: [{90631734-F92E-4415-A10A-61DFEE61A05B}] => (Allow) LPort=3389
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

С расшифровкой поможет этот декриптор.

В ЛС кое-что добавлю.

Ссылка на комментарий
Поделиться на другие сайты
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано (изменено)

Запустил, идет процесс...

 

Расшифровал, теперь в папках несколько одинаковых файлов один файл закодированный, второй раскодированный и файл HOW TO DECRYPT FILES. Это вручную удалять?

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
20 минут назад, s.evgeny.a сказал:

Это вручную удалять?

Да, убедитесь, что всё расшифровано и можете удалять.

 

24 минуты назад, s.evgeny.a сказал:

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

А был пароль на неё?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Поймали шифровальшик на сервер [РАСШИФРОВАНО]
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

А был пароль на неё?

Пароли были на каждого пользователя для входа.
А сейчас без выбора пользователя требует пароль именно базы данных

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex изменил название на [РАСШИФРОВАНО] Поймали шифровальшик на сервер
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

 

Размер базы 22 Мбайт. Могу ссылкой на файлообменник скинуть

https://disk.yandex.ru/d/rfu7iZEDuTsugg

 

так же могу скинуть такую же базу которая не повреждена.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
7 часов назад, s.evgeny.a сказал:

так же могу скинуть такую же базу которая не повреждена.

Не нужно. Проверю базу после возвращения с работы. Эта база единственная проблемная?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • komma77
      Зашифровали сервер и копьютеры.
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • DeniTornado
      KES на терминальных серверах
      Автор DeniTornado
      Доброго всем!
      Коллеги, а кто-нибудь использует KES на своих RDS серверах? Все нормально с работой серверов?
       
      Дано:
      - несколько RDS на Windows Server 2019
      - на них установлен KES 12.1.0.506
       
      Проблема:
      Вот уже в течении нескольких дней подряд наблюдаю утром проблему пока только на RDS (на остальных серверах пока все нормально - служебные серверы для определенных целей). То один сервер, то второй, то третий - утром когда все пользователи заходят на свои рабочие столы (почти все у нас работают на терминальных серверах со своих тонких клиентов), зайти не могут! Сервер тупо не отвечает на запросы. RDSы - это виртуальные машины на Hyper-V. Приходится через консоль Hyper-V перезагружать виртуалку и тогда она или после первой перезагрузки или после второй начинает пускать пользователей.
      Самое интересное что в логах ни чего такого, что указало бы на проблему. ТП в собранных логах ни чего криминального не видит
       
      До установки KES такого не было ни когда! Раньше пользовались другим известным антивирусом вообще не знали таких симптомов и проблем.
      Есть у кого схожие проблемы на RDS?
       
      И еще такой вопрос: на RDS серверах я использую скрытый режим работы KES - в настройках политики для RDSов отключил интерфейс. Не за чем пользователям его видеть в трее Windows. Но при такой настройке становится недоступна проверка из контекстного меню WIndows файлов на вирусы - эти менюшки серые и их не нажать. Можно как-то и скрыть KES, но при этом и функция проверки из контекстного меню была доступна?
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
×
×
  • Создать...