10 ответов в этой теме

[satone]

Добрый день, поймали шифровальщик, теперь зашифровано все что было включено в локалке на момент шифрования, то есть примерно половина рабочих мест и все сервера. Удалось найти сервер на котором взломщик видимо взломал rdp и оттуда запускал шифрования по сети в локальном домене AD. Соответственно, есть exe-ники шифратора, На рабочих местах стоял dr.web. Вопрос - насколько реально дешифровать зашифрованное если есть сам шифратор и какие-то файлы ключей лежащие рядом?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[AndreyKa]

saton, лучше с поддержкой Dr. Web связаться, а то тут вам насоветуют...

[satone]

Связались, просто вдруг еще и коллективный разум что-нибудь сможет подсказать

[Alexander007]

Чтобы понять , что произошло c cистемой , надо подготовиться Dr.Web Sysinfo .

 

+ еще Инструкция Farbar Recovery Tool - Помощь по лечению - Dr.Web forum

[VVS]

Чтобы понять , что произошло c cистемой , надо подготовиться Dr.Web Sysinfo .
 
+ еще Инструкция Farbar Recovery Tool - Помощь по лечению - Dr.Web forum

Толку было с него, правда, как с козла молока, но вреда, однако, тоже никакого. ©

[satone]

Чтобы понять , что произошло c cистемой , надо подготовиться Dr.Web Sysinfo .

 

Не могу - все зараженные рабочие станции или выключены от греха, или при старте не пускают в систему - вредоносное программное обеспечение убил возможность аутентификации

[Dolmatov]

Только анализ рабочей среды может дать какой-то информативный ответ. Остальное будет обобщённо или гадание на кофейной гуще. Вам имеет смысл прочитать статью https://forum.drweb.com/index.php?showtopic=339285, если ещё не читали. Там как раз упоминаются шифровальщики.

[Alexander007]

 

Чтобы понять , что произошло c cистемой , надо подготовиться Dr.Web Sysinfo .

 

Не могу - все зараженные рабочие станции или выключены от греха, или при старте не пускают в систему - вредоносное программное обеспечение убил возможность аутентификации

 

Какие нибудь из экзешников , если есть которые остались шифровальщик и тело вируса ? Или само удалилось и не оставили ?

 

По возможности посмотреть теневные копии через программу  ShadowExplorer  возможно восстановить после атаки .  Если есть .

Сообщение было изменено Alexander007: 11 Сентябрь 2025 - 18:11

[Alexander007]

Ну , сначала сперва запишите Dr.Web Live USB - через другой программу, там где система не пускает .   Можно через флешку запустить и посмотреть что произошло с файлом , возможно Neshta ( вместе с шифровальщиком ( бывают модификация  ) - мешает запустить систему ?  Если действительно связян с Neshta , то можно вылечить .

 

Техническая документация : Руководство пользователя

 

Dr.Web Live USB — это образ живого диска для создания загрузочного USB-диска. Предназначен для поиска и удаления вредоносного программного обеспечения на заражённом компьютере. Полезен при серьёзных заражениях операционной системы, когда установить или запустить антивирусное ПО в операционной системе не удаётся. 

Сообщение было изменено Alexander007: 11 Сентябрь 2025 - 18:19

[Dolmatov]

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

все зараженные рабочие станции или выключены от греха, или при старте не пускают в систему

 

Лучше не использовать средства, которые могут повлиять на ОС, файлы, чтобы не усугубить ситуацию, как порчей файлов, так и предоставлением доступа через включение заражённых АРМ. Только после консультации со специалистами вирусной лаборатории, а не пользователей на форуме.

Допускаю возможным подключение USB-носителя с Linux-live (Fedora, Ubuntu и т.п.) и отключение в BIOS загрузки с диска (SSD/HDD и т.п.), чтобы скопировать образцы файлов. Если подозреваете заражение UEFI, то может быть вообще следует подключать заражённые диски к новому ПК с отключённой загрузкой с заражённого диска, а доступ к файлам через альтернативный диск, но с осторожностью, чтобы не запустить вредоносные инструменты. 

 

Конечно, это не является заменой консультации специалистов, а предостережением об обдумывании дальнейших действий и оценки их последствий.