Перейти к содержимому


Фотография
* * * * * 1 Голосов

Поймал вирус wanna scream

шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   alisher0404

alisher0404

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 March 2020 - 13:22

Уважаемые Знатоки В офисе стоит сервер. на утро обнаружили что все файлы были зашифрованы. на тот момент не было антивирусов.\ Прикрепляю zip-архив с собранными логами а так же текст файл "read me" где указаны условия выкупа. Безгранично благодарен Вашей помощи и поддержке Приношу свои извинения если я как то нарушаю порядок действий подачи заявки
Так же прикрепляю Файлы FRST.txt и Addition.txt заархивированные в один общий архив Спасибо

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 14 March 2020 - 15:51

C:\Users\User1\Desktop\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt
C:\Users\User2\Documents\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt
C:\Users\Server\Desktop\exploit.exe.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

 

прикрепите в архиве к следующему сообщению


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   alisher0404

alisher0404

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 March 2020 - 16:59

 

C:\Users\User1\Desktop\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt
C:\Users\User2\Documents\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt
C:\Users\Server\Desktop\exploit.exe.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

 

прикрепите в архиве к следующему сообщению

 

Безгранично благодарен за отзывчивость

 

Прикрепил архив. 

 

Спасибо

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 14 March 2020 - 18:38

Без самого шифратора сказать что-то определенное не представляется возможным. Если нужно, можем почистить мусор.

 

Попали на компьютер наверняка через RDP, подобрав пароль (предположительно от учетки Server).


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   alisher0404

alisher0404

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 March 2020 - 19:36

Извините за глупый вопрос, шифратор находится у меня на компьютере или на том компе от куда был доступ?
Очистка мусора поможет ли что нибудь восстановить?

Сообщение отредактировал alisher0404: 14 March 2020 - 19:38

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 14 March 2020 - 20:19


Очистка мусора поможет ли что нибудь восстановить?
нет.

 


шифратор находится у меня на компьютере
активного нет. Но возможно в логах сервера есть информация о постороннем входе в нерабочее время.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   alisher0404

alisher0404

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 March 2020 - 21:50

Что посоветуете делать? Ждать выхода лечения или уже файлы не спасти?
Ещё такой вопрос, там файлов не особо значимые, но есть база 1с, вот за него обидно, придется год заново все вбивать. Или базу можно как то восстановить? Вдруг есть какое-нибудь решение.
Благодарю
  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 15 March 2020 - 08:28

Чтобы что-то советовать, нужно знать, что это за шифратор. А с этим пока проблема. По имени шифрованного файла он, конечно, похож на WannaScream (расшифровки нет), но это не факт.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   alisher0404

alisher0404

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 15 March 2020 - 10:47

Тогда будем ждать расшифровку. Благодарю за помощь
  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 15 March 2020 - 11:14

При наличии действующей лицензии на любой из продуктов компании создайте запрос на расшифровку. Только ТП может дать хоть какой-то ответ.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif





Темы с аналогичными тегами: шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных