n3ww4v3 Поймали шифровальщик, который нигде не определяется. Помогите найти начало ниточки.
Автор
Ivan152,
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
От Andrew7777
Скорее всего было так - Подобрали пароль от сервера и зашифровали файлы. То есть сами зашли на виртуальную машину по RDP узнав адрес, логин и пароль.
архив.rar Addition.txt FRST.txt
-
-
От de_Gauss
Сегодня народ пришел на работу и не смог подключиться к серверу по RDP. Сервер 2012R2 оказался зашифрован вот этой гадостью. Сервер никогда не выключался и, по словам клиентов, в пятницу уходили на выходные всё было нормально, а сегодня утром увидели эту "замечательную" картинку.
Загрузились на зараженном ПК с USB Strelec и проверили Farbar. Логи прилагаются.
В папке C:\Users\Администратор\AppData\Local была обнаружена папка с именем {9B24D914-D8F5-5C43-5F18-C6758674D7BB}, где имеются следующие файлы
Кроме того, в прикрепленном архиве находятся оригинальный и зашифрованный файлы линков, а также текстовое сообщение от вымогателя
FRST.txt piscostrui.rar
-
От Pacific-A
Здравствуйте,
вот и я проявил неосторожность, в результате столкнулся с шифровальщиком.
Подхватил, предположительно, через плохо защищенный RDP
В результате, ценные архивы и рабочие файлы зашифрованы.
В прицепе:
- архив с вирусным файлом и файлами, которые лежали вместе с ним (пароль "virus")
- архив с примерами - несколько зашифрованных файлов(jpeg) + незашифрованные оригиналы(jpeg), зашифрованные текстовые файлы
- отчет FRST.txt
уже прочитал соседнюю ветку, о том, что расшифровки этого типа вымогателя нет
пишу, что бы зафиксировать эпизод. И если вдруг случатся рекомендации по расшифровке, то буду крайне признателен.
Здесь статья об этом шифровальщике.
virus-files exeonly.zip записка и образцы файлов.zip
-
От ZzordNN
По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing
files shifrator.zip
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.