Перейти к содержанию

Поймал шифровальщика

Евгений111
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте. 

 

Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена?

 

Цитата

an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an
DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled)
Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor
Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan
WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled)
Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор
Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов
Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled)

Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ
C:\Users\an\appdata\local\temp\svcymh.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новые логи.

Евгений111

Евгений111

Опубликовано
  • Автор
Опубликовано

Касперский был почему-то полностью отключен, когда всё произошло.

Файл во вложении

Fixlog.txt

А дешифровать зашифрованные файлы получится?
Бэкапов нет, сервер недавно переустановил...

Евгений111

Евгений111

Опубликовано
  • Автор
Опубликовано

Я так понял это 2.0.0.0, а для него дешифратора ещё нет?

 

thyrex

thyrex

Опубликовано
Опубликовано

И не стоит надеяться на его появление в обозримом будущем.

mike 1

mike 1

Опубликовано
Опубликовано
15 часов назад, Евгений111 сказал:

А дешифровать зашифрованные файлы получится?

В техподдержке спросите. 

 

15 часов назад, Евгений111 сказал:

Касперский был почему-то полностью отключен, когда всё произошло.

Собственно вероятно по этой причине:

 

Цитата

Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского")

 

У Вас KSC развернут в организации? 

15 часов назад, Евгений111 сказал:

Бэкапов нет, сервер недавно переустановил...

Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Поймали шифровальщика
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Insaff
      Поймали Шифровальщика
      Автор Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • figabra
      Поймал шифровальщик
      Автор figabra
      Добрый день!
       
      Поймал шифровальщик Trojan-Ransom.Win32.Phobos.vho
      Все файлы имеют расширение .deep
      Помогите пожалуйста с расшифровкой.
       
      Заранее спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • yarosvent
      поймали шифровальщика
      Автор yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...