Перейти к содержанию

Зашифровались файлы doc, xls на сервере

kcpr.krsk
 Share Подписчики 1

Рекомендуемые сообщения

kcpr.krsk

kcpr.krsk 0

Опубликовано
Опубликовано (изменено)

На локальной машине пользователь по-видимому открыл подозрительное письмо. Позже на машине и в сети еще на одной машине и на двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.


На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   


На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)


Ниже лог с одного из серверов.


Можно ли включать сервер?


CollectionLog-2017.01.18-21.21.zip

Изменено пользователем kcpr.krsk
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • nel
      Шифровальшик GFANXf9LM
      От nel
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы. После обнаружения, что файлы зашифрованы, диск переставил в другую машину. Ко всем файлам добавляется расширение «GFANXf9LM». В архиве прилагаю три зашифрованных файла, файл с описанием и один оригинальный файл (до шифрования).
      Спасибо за внимание.
      GFANXf9LM.7z
    • nsgdima
      Взломали RDP и зашифровали большую часть дисков
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
    • Nepodarok
      Шифровальщик .kaspersky
      От Nepodarok
      Добрый день. Я так понял, что через RDP зашифровали данные с названием .kaspersky.  После перезагрузки, windows не загрузился, поэтому пришлось снять жесткий и логи снимать с другого компьютера.
      Addition_30-12-2022 00.45.32.txt FRST_30-12-2022 00.45.32.txt архив.zip
    • Galfest
      Поймали шифровальщика.
      От Galfest
      Добрый день!
      Сегодня (27.12.2022) при входе в компьютер обнаружил что большинство файлов на рабочем столе и в системе имеют новый файловый формат (QUIETPLACE).
      Антивирус Windows принудительно погашен (не мной) и файлы, с новым расширением не открываются в прежних форматах (только в txt). Наткнулся на тему на Вашем форуме, от людей с схожей проблемой, но без решения. Хотел уточнить, есть ли решение данной проблемы на текущий момент? 
      Файлы скана системы и пример файла с новым расширением упаковал в архив и прикрепляю в данной теме. 
    • Артём Симонов
      Шифровальщик с форматом [casecrosu@eml.cc].MMXXII
      От Артём Симонов
      Доброго времени, отработал шифровальщик-вымогатель. Предположительно взломали через RDP, зашифровались все документы, базы 1С и файлы бэкапов Veeam.
       
       Во вложении файл с требованием и зашифрованный файл.
      file.zip
×
×
  • Создать...