Перейти к содержанию

Кажется что файлы зашифрованы, но непонятно чем.


Рекомендуемые сообщения

Обнаружились на сетевой шаре в папке одного отдела 4000 повреждённых пдф файлов.

Как то можно определить метод шифрования?

 

Случилось это давно, так как бэкап 45 дневной давности уже содержит битые файлы.

Непонятно откуда взялся шифровальщик, на вымогателя не похоже, расширение файлов было не изменено, сообщения в стиле "заплатите" тоже нет.

Файлы побиты как-то странно, в одной папке могут быть и битые пдф и нет, причем как то биты рандомно по папкам. Одно общее - это папка отдела.

Никакие больше шары не затронуты, как и рабочие столы или компьютеры.

Похоже на диверсию одного из сотрудников.

 

ссылка на файл https://www.sendspace.com/file/g48bdw

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Пока определить тип вымогателя (если действительно это было шифрование) не получается. Хорошо бы найти записку с требованием выкупа.

Вариант физического повреждения из-за неисправности, например, жесткого диска не рассматриваете?

Ссылка на комментарий
Поделиться на другие сайты

Рассматриваю любые варианты, сейчас известно что проблема коснулась не только пдф. Попали и офисные и кады, и архивы.

Насчет диска, это ВМ на vmware esxi.

Как всё начиналось: на прошлой недели во время бэкапа произошла ошибка. Диск в системе был RAW. На этом диске находится общая папка отдела, к ней имеют доступ ограниченный круг лиц.

windows event log

PreFinalCommitSnapshots({5ad6f142-0c0e-48ec-8c84-ace3489d6ada}, 4) [hr = 0x8000ffff, Destructive failure].

Error context: CreateFileW(\\?\Volume{a4315ebe-b055-4ec0-8a93-3e63a65e7104},0xc0000000,0x00000003,...).

Veeam send Error
Creating VSS snapshot Error: Failed to create snapshot: Backup job failed. Cannot create a shadow copy of the volumes containing writer's data. VSS asynchronous operation is not completed. Operation: [Shadow copies commit]. Code: [0x8004230f].
Error: Failed to create snapshot: Backup job failed. Cannot create a shadow copy of the volumes containing writer's data. VSS asynchronous operation is not completed. Operation: [Shadow copies commit]. Code: [0x8004230f].

 

В логе вмвари ничего.

Я удалил диск, создал новый, и скопировал файлы из последнего бэкапа. Пользователи начали жаловаться что ничего не открывается и т.п. После проверки я понял что самый старый бэкап уже содержит битые файлы.

 

И тут моей квалификации уже начинает не хватать. Так как считаю что veeam точно не мог побить файлы, а по какой причине разрушился диск виртуальной машины - даже предположить не могу.

Все остальные диски на этом сервере, как и на других небыли затронуты. Ни одной жалобы на зашифрованный пк у нас тоже не было

Какова вероятность что из-за какого-то разрушения диска виртуальной машины файлы побились именно вот так. Мне кажется если бы это действительно произошло, то никакой файловой структуры я бы вообще не увидел.

Думаю всё таки что разрушение диска и побитые файлы - события не связанные. Дело в том что к данному диску пользователи обращаются не часто, (по той информации, которую они сейчас предоставляют - файлы точно были корректными летом.)но как только он стал недоступен, пошла волна "по отделу", и после восстановления юзеры начали проверять что там случилось.

Ошибок в рейде на СХД тоже нет.

 

Отчет по угрозам KSC не показывает никаких ransom или чего-то похожего.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...