Перейти к содержанию

Вирус шифровальщик .wixawm

Dyushban
 Поделиться

Рекомендуемые сообщения

Dyushban

Dyushban

Опубликовано
Опубликовано

Всех приветствую! Заразились одновременно(разница где то 30 минут между тем как заметили) 2 сервера, никак не связанных друг с другом. На серверах работают только в 1С, все браузеры и т.п. удалено либо вырезано. Подключение идет по RDP и по веб серверу IIS(Для 1С) Порты открыты, доп. защиты какой то нет. Погуглив эту тему, как я понял для godox нет никаких пока что решений и скорее всего не будет. Вопрос впринципе такой. Какие могут быть варианты решений? Первый раз с таким столкнулся. Всем заранее спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Oleg P
      Зашифрована ОС Windows Server 2016
      Автор Oleg P
      Коллеги.ю добрый день.
      Зашифрован сервер с ОС Windows Server 2016 - предположительно, через уязвимость в протоколе RDP. Прилагаются следующие файлы:
      - Примеры зашифрованных файлов (3 шт.)
      - Открытый ключ шифрования (исходное расширение - key)
      - Баннер, оставленный злоумышленниками
      - Письмо, полученное от злоумышленников в ответ на письмо, отправленное нами (со всеми метаданными)
      Система не загружается ни в каком режиме, т.к. системные файлы, предположительно, также зашифрованы.
      Исходное расширение зашифрованных файлов - wixawm
      Ждем дальнейших инструкций.
      Заранее спасибо за помощь.
      Thumbs.db,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Выигранные тендеры.xlsx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Обеспечение контракта - деньги.docx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt RSAKEY-MJ-IZ0643158279.txt Decryption-Guide.txt Fwd Your Case ID MJ-OS3547089612 - free-daemon@yandex.ru - 2021-12-13 1414.txt
    • Александр Г.
      Шифровальщик %originalFileName%.(%someID%).(Folperdock@gmail.com).Godox
      Автор Александр Г.
      Добрый день!
      досадная история ошибки:
      Создал на домашнем ПК пару виртуальных машин VirtualBox, поднял контроллер домена, работал под доменными учетками со сложными паролями. Вторую машину опубликовал в интернет по RDP с измененным TCP портом, но забыл про учетку локального администратора на ней с простым паролем. Чем и воспользовался злоумышленник :( , есть следы присутствия в системе в виде профилей пользователей, которых я не создавал. Один из дисков хоста был замаплен на виртуалку с правами по записи. Результат обнаружился спустя некоторое время в виде нестартующей виртуалки и зашифрованной части файлов на замапленном диске. Просканировал хост, обнаружились зараженные файлы в архиве дистрибутивов, угрозы устранены. Сделал на виртуалке снэпшот, просканировал KRD, обнаружился Win32.Neshta.A. Остальное во вложениях. Поиск рецепта для расшифровки не дал результатов, применение наугад некоторых дешифрующих утилит с парами оригинальных и зашифрованных файлов результата не дал. Некоторые из зашифрованных файлов жалко. Надеюсь на вашу помощь. Если не получится, то хоть базу пополните :).
      files.zip FRST.txt
×
×
  • Создать...