Перейти к содержанию

с этой машины запускали шифровальщика


Рекомендуемые сообщения

на этом сервере были обнаружены логи сканирования сети, логины и пароли некоторых пользователей, а также папки с подозрительными утилитами.

взломщик добавил себя в лок.администраторы, в группу доступа рдп и др.

CollectionLog-2021.09.12-20.31.zip

Ссылка на комментарий
Поделиться на другие сайты

Активного шифратора в логах нет.

 

Я просил еще и сообщения вымогателей для связи с ними.

 

Кстати, шифрование получили уже после лечения майнера в соседнем разделе или вместе с ним?

Ссылка на комментарий
Поделиться на другие сайты

Ну значит как были дыры в безопасности, так они и остались после лечения.

 

Предположительно у Вас поработал шифратор Phobos. С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mona Sax
      Автор Mona Sax
      машина жива осталась?и сколько она грузилась?
       

      i



      Information:

      Эта тема была выделена из обсуждеия *nix систем: http://forum.kasperskyclub.com/index.php?showtopic=850

      Kind regards, CbIP.




    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • Sos3993
      Автор Sos3993
      При запуске пк показывается значëк загрузки виндовса, а потом всë монитор ухид в спящий режим. В биосе какая-то дичь, фото ниже. 

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • B_KACKE
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
×
×
  • Создать...