Перейти к содержанию

[РАСШИФРОВАНО] Поймали шифровальшик на сервер

s.evgeny.a
 Поделиться

Рекомендуемые сообщения

s.evgeny.a Новичок

s.evgeny.a

Опубликовано
Опубликовано (изменено)

Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю

Файлы.rar

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
  • s.evgeny.a изменил название на Поймали шифровальшик на сервер
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Попробуйте найти пару: зашифрованный и его не зашифрованный оригинал. Ищите такой на других ПК, в почте, в резервной копии и т.п.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2021-09-03] () [Файл не подписан]
2021-09-03 17:06 - 2021-09-03 17:06 - 000001023 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Downloads\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Documents\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Desktop\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
FirewallRules: [{90631734-F92E-4415-A10A-61DFEE61A05B}] => (Allow) LPort=3389
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

С расшифровкой поможет этот декриптор.

В ЛС кое-что добавлю.

Ссылка на комментарий
Поделиться на другие сайты
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано (изменено)

Запустил, идет процесс...

 

Расшифровал, теперь в папках несколько одинаковых файлов один файл закодированный, второй раскодированный и файл HOW TO DECRYPT FILES. Это вручную удалять?

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
20 минут назад, s.evgeny.a сказал:

Это вручную удалять?

Да, убедитесь, что всё расшифровано и можете удалять.

 

24 минуты назад, s.evgeny.a сказал:

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

А был пароль на неё?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Поймали шифровальшик на сервер [РАСШИФРОВАНО]
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

А был пароль на неё?

Пароли были на каждого пользователя для входа.
А сейчас без выбора пользователя требует пароль именно базы данных

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex изменил название на [РАСШИФРОВАНО] Поймали шифровальшик на сервер
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

 

Размер базы 22 Мбайт. Могу ссылкой на файлообменник скинуть

https://disk.yandex.ru/d/rfu7iZEDuTsugg

 

так же могу скинуть такую же базу которая не повреждена.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
7 часов назад, s.evgeny.a сказал:

так же могу скинуть такую же базу которая не повреждена.

Не нужно. Проверю базу после возвращения с работы. Эта база единственная проблемная?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • KasatkinMihail
      Зашифровали рабочий сервер
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
×
×
  • Создать...