Перейти к содержанию

Поймал шифровальщика

Евгений111
 Share

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Здравствуйте. 

 

Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена?

 

Цитата

an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an
DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled)
Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor
Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan
WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled)
Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор
Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов
Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled)

Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ
C:\Users\an\appdata\local\temp\svcymh.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
Евгений111 Новичок

Евгений111

Опубликовано
  • Автор
Опубликовано

Касперский был почему-то полностью отключен, когда всё произошло.

Файл во вложении

Fixlog.txt

А дешифровать зашифрованные файлы получится?
Бэкапов нет, сервер недавно переустановил...

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
15 часов назад, Евгений111 сказал:

А дешифровать зашифрованные файлы получится?

В техподдержке спросите. 

 

15 часов назад, Евгений111 сказал:

Касперский был почему-то полностью отключен, когда всё произошло.

Собственно вероятно по этой причине:

 

Цитата

Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского")

 

У Вас KSC развернут в организации? 

15 часов назад, Евгений111 сказал:

Бэкапов нет, сервер недавно переустановил...

Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
×
×
  • Создать...