Babayguy 0 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 (изменено) Зашифрованы файлы на сервере. Почти все файлы переименованы в xzer@tutanota.com_случайные цифры.В папках с файлами появился html документ, предлагающий заплатить биткоин за разблокировку. Файлов очень много, несколько тб. Особо важных нет(были бэкапы) но всё же хочется восстановить хотя бы часть. Откуда шифровальщик попал на сервер неизвестно, скорее всего скачал кто-то из сотрудников. CollectionLog-2018.05.16-17.58.zip Изменено 16 мая, 2018 пользователем Babayguy Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 Файл с сообщением вымогателей прикрепите в архиве к следующему сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 16 мая, 2018 Автор Share Опубликовано 16 мая, 2018 "Сообщение слишком короткое". HOW DECRIPT FILES.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 Ожидайте Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 16 мая, 2018 Автор Share Опубликовано 16 мая, 2018 Пример зашифрованого файла не нужно приложить? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 (изменено) На всякий случай приложите. Update: проверьте ЛС Изменено 16 мая, 2018 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 17 мая, 2018 Автор Share Опубликовано 17 мая, 2018 В архиве пример зашифрованого файла и результат выполнения дешифратора на этот файл. Primer.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 мая, 2018 Share Опубликовано 17 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 17 мая, 2018 Автор Share Опубликовано 17 мая, 2018 "Сообщение слишком короткое." FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 мая, 2018 Share Опубликовано 17 мая, 2018 Возможно, это новая модификация. Нужно тело вируса Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 18 мая, 2018 Автор Share Опубликовано 18 мая, 2018 Где его взять и как выслать? Сервер уже чистил, вроде как. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 мая, 2018 Share Опубликовано 18 мая, 2018 Тут уж мне неведомо, где искать (и найдете ли). Обычно название файла с этим вирусом что-то типа smsss.exe (не путать с системным файлом smss.exe) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 мая, 2018 Share Опубликовано 18 мая, 2018 Попробуйте с помощью программ восстановления данных поискать на Рабочем столе удаленный файл с возможным именем GGPN350MYXCLMNMEFW623R940N2TNHSO5WQFBCH8-lan.txt Если подозреваете, что файл был запущен кем-то из сотрудников, придется это сделать и на их компьютерах. Еще возможен вариант захода злоумышленников по RDP путем подбора пароля к компьютеру какого-либо пользователя. Цитата Ссылка на сообщение Поделиться на другие сайты
Babayguy 0 Опубликовано 20 мая, 2018 Автор Share Опубликовано 20 мая, 2018 В любом случае, было решено всё просто отформатировать. Если переустановить ОС и отформатировать остальные жд, вирус 100% будет удален? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 мая, 2018 Share Опубликовано 20 мая, 2018 Активного вируса в логах не видно. По информации от зарубежных коллег никаких изменений алгоритма шифрования в версии с этой почтой нет. Как вариант попробуйте поискать файл xzer@tutanota.com_736D7373732E657865. Это может быть просто переименованный файл шифратора. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.