Перейти к содержанию

Касперский бессилен перед HONEYHORSELIKESMONEY

Автошкола
 Поделиться

Рекомендуемые сообщения

Автошкола

Автошкола

Опубликовано
Опубликовано

Учреждение пострадало от атаки HONEYHORSELIKESMONEY

Все активировано, защита включена!

Вопрос к разработчикам касперского - как так?

Почему на машине с касперским простейшая задача не отработала?

Нужна ли такая защита?

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Если не будет логов по Правилам оформления запроса о помощи, перенесём тему в другой раздел.

29 минут назад, Автошкола сказал:

Все активировано, защита включена!

Навскидку - скорее всего был взлом RDP и подбор пароля администратора. После чего отключить защиту несложно.

Точнее можно будет сказать после анализа логов по правилам.

Автошкола

Автошкола

Опубликовано
  • Автор
Опубликовано

Уважаемый Sandor.

 

Ноут, который подвергся атаке, был выключен на лету. Есть вероятность, что в нем остались ключи дешифровки.

Не имея достаточной квалификации, не включал. Комп использовался как резервный, как терминал, особо ценной инфы не содержит.

Включив его полагаю могу потерять ключи дешифровки.

Порядок действий?

Еще два сервера в значительной мере зашифрованы, почти полностью.

У них диски вынул, проверил на вирусы, отсутствуют.

Один включил.

Каких либо сообщений о вымогательстве не обнаружил от слова совсем.

 

Вопросы:

1. Как искать файл шифровальщика?

2. Как искать файл вымогательства?

3. Порядок действий в по горячему выкл компу?

 

Результаты работы утилиты и зашифрованные файлы прилагаю.

 

Вирус 06032023.rar

В архиве только забаненные файлы и отчеты утилиты, вируса там нет, обозвал архив неудачно!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Автор Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Что делать, посоветуйте.
      Пострадали сервера WIN 2016 на которых установлен RSC и WIN 10 с установленным KESW.
      Все активировано, защита включена!
    • Владимир В. А.
      Взлом по RDP и шифровка файлов
      Автор Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      Зашифрованы файлы на нескольких машинах в сети
      Автор Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      Нужна помощь в ликвидации шифровальщика PODSTAVLIAIPOPKU, расшифровка не нужна, есть бекап.
      Автор Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      Шифрование нового поколения PODSAVLIAIPOPKU, он же PANIN.
      Автор печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
×
×
  • Создать...