Перейти к содержанию

[РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja


Рекомендуемые сообщения

Здравствуйте! Зашифрованы файлы в расшареных папках на сервере. Инфицированный компьютер в сети не найден. Аудит на сервере был отключен, все компьютеры без следов шифровальщика. Понимаю, что информации недостаточно, но надеюсь.

файлы+требования.7z

Ссылка на сообщение
Поделиться на другие сайты
Цитата

User11 (S-1-5-21-3717483411-1268531068-3313841229-1044 - Limited - Enabled) => %SystemDrive%\Documents and Settings\User11

а говорите не нашли такого :) 

Ищите, кто имеет доступ только к этому профилю.

Ссылка на сообщение
Поделиться на другие сайты

 

Цитата

C:\Documents and Settings\User11\Мои документы\sng
C:\Documents and Settings\User11\Рабочий стол\sng

что в этих папках?

 

C:\Documents and Settings\User6\Мои документы\NS.exe точно можно удалить. Это как раз сканер сети.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, thyrex сказал:

что в этих папках?

.cr_hand.exe - понятия не имею что это

В сети точно нет компьютера с которого заходили бы под User11.

Пользователи не умеют подключаться к удаленному рабочему столу сервера.

Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, Komicho сказал:

cr_hand.exe - понятия не имею что это

только не вздумайте запускать, ибо это шифратор, который и наделал у Вас бед.

 

Злоумышленники не создают себе профили, попав на сервер. Они пользуются тем, что и так есть.

Цитата

2010-11-15 12:33 - 000000178 ___SH C:\Documents and Settings\User11\ntuser.ini

профиль существует с 2010 года даже, а может и раньше.

 

Как вариант, заблокировать его вообще и в понедельник посмотреть, кто прибежит жаловаться на проблемы с доступом :)

 

Цитата

2022-08-09 23:03 C:\Documents and Settings\User6\Мои документы\NS.exe

что скажете про этого пользователя? Под ним кто-то заходил?

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, thyrex сказал:

что скажете про этого пользователя? Под ним кто-то заходил?

Профиль старый, сейчас скорее всего не используется. Точнее могу сказать только завтра.

Могу сказать, что заходил некто вчера в 8:20 утра, хотя офис открывается в 10:00

 

17 минут назад, thyrex сказал:

Как вариант, заблокировать его

Заблокировал.

Не прибежит. В офисе всего 13 компьютеров и User11 там не фигурирует.

Что-то все больше утверждаюсь в мысли, что снаружи нас кто-то имеет

Ссылка на сообщение
Поделиться на другие сайты

Вы только сейчас это поняли? Доступ по RDP закрывайте срочно. Именно так распространители разных шифраторов и попадают в систему.

 

Обратите внимание, в какое время сканер сети появился на сервере. В такое время точно рабочий день закончен.

 

Проведите ревизию на сервере на предмет неиспользуемых учеток и заблокируйте их все. Доступ в интернет организуйте через VPN.

 

Чуть позже сегодня, в крайнем случае завтра, постараюсь выдать расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо за помощь. Согласен, давно пора навести порядок.

 

Да, и время шифрования файлов 1:40 - 19:50. В это время в офисе никого нет.

Доступа по RDP нет.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • maravan1
      От maravan1
      Добрый день в 2021м через слабый пароль rdp залили и запустили шифровальщика в локальной сети.
      пострадали данные как только было замечено шифрование сразу была остановлена система и сделан образ диска. (возможно к текущему моменту он потерян)
      на сетевом диске осталось много зашифрованных данных . мы сейчас переносим старые диски на новую машину и наткнулись на эти данные.
      Пожалуйста посмотрите возможно ли их расшифровать. 
       
      crylock.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • MilaG
      От MilaG
      Прошу помочь с расшифровкой, шифрование было где-то полгода назад, есть важные файлы.
      Пример файла
      Гимн СССР.docx[honestandhope@qq.com].rar
    • Ботя
      От Ботя
      Здравствуйте, уважаемые мастера инфобеза. 22 сентября 2022 года сработал вирус вымогатель шифровальщик. Пожалуйста, помогите расшифровать данные. 
      Во вложении файлы FRST, в архивах сами зашифрованные данные и в архиве ryuk файлы от вымогателей. 
      При выявлении что было сделано: Установлен антивирус, быстро на скорую руку, который удалил сам вирус. Но последствия остались. больше никаких изменений не делалось. Заражено 1 компьютер и 1 ноутбук. На ноутбуке не загружалась ОС, пришлось поставить диск и на него установить ОС. старый диск также проверен на вирусы, и увы вирус удалён. В остальном всё осталось без изменений. Прошу Вас помочь. Вы последняя ндежда.
      Addition.txt FRST.txt Shortcut.txt RYUK.rar encrypted files.rar
    • Andrey1976
      От Andrey1976
      Доброе время суток.
      Зашифровал файлы в сетевой папке NAS!!!!
       
      Может можно что то сделать?.  Заранее спасибо за помощь!
      Зашифрованные файлы.rar
×
×
  • Создать...