crylock 2.0.0.0 [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja

[Komicho 0]

Здравствуйте! Зашифрованы файлы в расшареных папках на сервере. Инфицированный компьютер в сети не найден. Аудит на сервере был отключен, все компьютеры без следов шифровальщика. Понимаю, что информации недостаточно, но надеюсь.

файлы+требования.7z

[thyrex 1353]

Шифровальщик работал из-под пользователя User11

[Komicho 0]

Спасибо, буду искать компьютер.

[Komicho 0]

Увы, пользователя User11 на компьютерах не обнаружено. У нас сетевые учетные данные прописаны на компьютерах.

[thyrex 1353]

Ну тогда файлы вообще не Ваши

Файлы где нашли?

[Komicho 0]

Ага, файлы не мои, а счастливых пользователей, которые сейчас от счастья плачут

[thyrex 1353]

Файлы нашли на сервере? Тогда сделайте на сервере логи Farbar согласно правилам этого раздела

[Komicho 0]

Логи Farbar с сервера:

Addition.txt FRST.txt

[thyrex 1353]

Цитата

User11 (S-1-5-21-3717483411-1268531068-3313841229-1044 - Limited - Enabled) => %SystemDrive%\Documents and Settings\User11

а говорите не нашли такого  

Ищите, кто имеет доступ только к этому профилю.

[thyrex 1353]

 

Цитата

C:\Documents and Settings\User11\Мои документы\sng
C:\Documents and Settings\User11\Рабочий стол\sng

что в этих папках?

 

C:\Documents and Settings\User6\Мои документы\NS.exe точно можно удалить. Это как раз сканер сети.

[Komicho 0]

2 минуты назад, thyrex сказал:

что в этих папках?

.cr_hand.exe - понятия не имею что это

В сети точно нет компьютера с которого заходили бы под User11.

Пользователи не умеют подключаться к удаленному рабочему столу сервера.

[thyrex 1353]

9 минут назад, Komicho сказал:

cr_hand.exe - понятия не имею что это

только не вздумайте запускать, ибо это шифратор, который и наделал у Вас бед.

 

Злоумышленники не создают себе профили, попав на сервер. Они пользуются тем, что и так есть.

Цитата

2010-11-15 12:33 - 000000178 ___SH C:\Documents and Settings\User11\ntuser.ini

профиль существует с 2010 года даже, а может и раньше.

 

Как вариант, заблокировать его вообще и в понедельник посмотреть, кто прибежит жаловаться на проблемы с доступом

 

Цитата

2022-08-09 23:03 C:\Documents and Settings\User6\Мои документы\NS.exe

что скажете про этого пользователя? Под ним кто-то заходил?

[Komicho 0]

13 минут назад, thyrex сказал:

что скажете про этого пользователя? Под ним кто-то заходил?

Профиль старый, сейчас скорее всего не используется. Точнее могу сказать только завтра.

Могу сказать, что заходил некто вчера в 8:20 утра, хотя офис открывается в 10:00

 

17 минут назад, thyrex сказал:

Как вариант, заблокировать его

Заблокировал.

Не прибежит. В офисе всего 13 компьютеров и User11 там не фигурирует.

Что-то все больше утверждаюсь в мысли, что снаружи нас кто-то имеет

[thyrex 1353]

Вы только сейчас это поняли? Доступ по RDP закрывайте срочно. Именно так распространители разных шифраторов и попадают в систему.

 

Обратите внимание, в какое время сканер сети появился на сервере. В такое время точно рабочий день закончен.

 

Проведите ревизию на сервере на предмет неиспользуемых учеток и заблокируйте их все. Доступ в интернет организуйте через VPN.

 

Чуть позже сегодня, в крайнем случае завтра, постараюсь выдать расшифровку.

[Komicho 0]

Спасибо за помощь. Согласен, давно пора навести порядок.

 

Да, и время шифрования файлов 1:40 - 19:50. В это время в офисе никого нет.

Доступа по RDP нет.