Перейти к содержанию

Шифровальщик "Fast.exe" с почтой вымогателя qqtiq@tuta.io

AciDancer
 Share Подписчики 1

Рекомендуемые сообщения

AciDancer

AciDancer 0

Опубликовано
Опубликовано

Доброй ночи.
Поймал мой боец с админским доступом шифровальщик-вымогатель.
Бэкапы есть только критической инфраструктуры и конечно же туда не входят пользовательские папки терминала и личные папки на файловом хранилище... 
Сейчас уже всё основное восстановил, но как Вы понимаете - пользователи за свои папки меня растерзают. 
Слёзно прошу помощи.
Файлы логов диагностики + архив с 2мя зашифрованными файлами - прилагаю.

Addition.txt FRST.txt Shortcut.txt zip arhive.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано (изменено)

Судя по логам, файлы шифровальщика очищены в системе.

FN.id[B6E88945-3351].[qqtiq@tuta.io].deep - это Phobos, по Phobos нет расшифровки файлов, только за выкуп ключей у злоумышленников, с большим риском, что не помогут после получения оплаты.

Восстановление данных возможно только из бэкапов.

 

теперь, когда вас шифрануло Phobos, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • bygi13
      Шифровальщик
      От bygi13
      Вирус шифровальщик
    • Timur1
      Шифровальщик .OOH
      От Timur1
      Всем привет!

      Несколько недель назад шифровальщик (.OOH) зашифровал все файлы, которые находились в Общей папке. Еще раз только общая папка была подвержена атаке. 
      На каждом файле есть такая надпись "id[289E1C38-3308].[gdecryptor5@onionmail.org].OOH".
       
      Перепробовали все бесплатные ransomware утилиты от Касперского, Аваста и тд. Не помогло. Антивирусы не находят ничего.
       
      Что я могу еще попробовать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • kuznetcov_inbox.ru
      Зашифровались файлы .id[AAF40735-3349].[johnhelper123@gmx.de].decrypt
      От kuznetcov_inbox.ru
      Кто может помочь .id[AAF40735-3349].[johnhelper123@gmx.de].decrypt
    • phant
      x-decrypt@worker.com зашифровано
      От phant
      Добрый день!
      Сегодня ночью был зашифрован компьютер и все сетевые папки. 
      Файлы логов прилагаю.
      x-decrypt@worker.com.rar FRST.rar Addition.rar
    • juryvv
      [ware_house@tuta.io].SHTORM
      От juryvv
      Помогите справиться. В сообщении следующее. Спасибо.
       
      All your files have been encrypted!
      All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ware_house@tuta.io
      Write this ID in the title of your message 249B9E74-3351
      If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Stop_24
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
      Free decryption as guarantee
      Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
      How to obtain Bitcoins
      The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
      https://localbitcoins.com/buy_bitcoins
      Also you can find other places to buy Bitcoins and beginners guide here: 
      http://www.coindesk.com/information/how-can-i-buy-bitcoins/
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software, it may cause permanent data loss. 
      Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
       
×
×
  • Создать...