Перейти к содержанию

Зашифрованы файлы

Babayguy
 Share Подписчики 0

Рекомендуемые сообщения

Babayguy

Babayguy 0

Опубликовано
Опубликовано (изменено)

Зашифрованы файлы на сервере. Почти все файлы переименованы в xzer@tutanota.com_случайные цифры.
В папках с файлами появился html документ, предлагающий заплатить биткоин за разблокировку. Файлов очень много, несколько тб. Особо важных нет(были бэкапы) но всё же хочется восстановить хотя бы часть. Откуда шифровальщик попал на сервер неизвестно, скорее всего скачал кто-то из сотрудников. 

CollectionLog-2018.05.16-17.58.zip

Изменено пользователем Babayguy
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Тут уж мне неведомо, где искать (и найдете ли). Обычно название файла с этим вирусом что-то типа smsss.exe (не путать с системным файлом smss.exe)

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Попробуйте с помощью программ восстановления данных поискать на Рабочем столе удаленный файл с возможным именем GGPN350MYXCLMNMEFW623R940N2TNHSO5WQFBCH8-lan.txt

Если подозреваете, что файл был запущен кем-то из сотрудников, придется это сделать и на их компьютерах. Еще возможен вариант захода злоумышленников по RDP путем подбора пароля к компьютеру какого-либо пользователя.

Ссылка на сообщение
Поделиться на другие сайты
Babayguy

Babayguy 0

Опубликовано
  • Автор
Опубликовано

В любом случае, было решено всё просто отформатировать. Если переустановить ОС и отформатировать остальные жд, вирус 100% будет удален? 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Активного вируса в логах не видно. По информации от зарубежных коллег никаких изменений алгоритма шифрования в версии с этой почтой нет.

Как вариант попробуйте поискать файл xzer@tutanota.com_736D7373732E657865. Это может быть просто переименованный файл шифратора.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...