Перейти к содержанию

Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

Витас
 Поделиться

Рекомендуемые сообщения

Витас

Витас

Опубликовано
Опубликовано

Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом)  и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах  в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)

Arhiv.zip

 

Добрый вечер! Прошу прощения, не поздоровался

  • Улыбнуло 1
Витас

Витас

Опубликовано
  • Автор
Опубликовано
1 минуту назад, kmscom сказал:

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

Инструкцию прочитал, но Вы правы, в архиве файл с расширением .hta, что нарушает правила. Подскажите пожалуйста могу изменить состав архива или хотя бы его запаролить?

 

thyrex

thyrex

Опубликовано
Опубликовано

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
2 минуты назад, thyrex сказал:

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Не очень уверен, но остальные компьютеры не затронуты, это единственный компьютер, на котором проброшен порт в роутере на статический ip. Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию? Какую процедуру лечения стоит провести?

  • thyrex изменил название на Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u
thyrex

thyrex

Опубликовано
Опубликовано
5 минут назад, Витас сказал:

Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию?

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

6 минут назад, Витас сказал:

это единственный компьютер, на котором проброшен порт в роутере на статический ip

источник проникновения - не то же самое, что источник шифрования.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
20 часов назад, thyrex сказал:

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

источник проникновения - не то же самое, что источник шифрования.

В архиве есть пример такого файла.

 

20 часов назад, Витас сказал:

В архиве есть пример такого файла.

Файл "Информационное письмо.jpg" подлежит открытию, хотя и имеет зашифрованного двойника в этой же папке. То есть вирус не удалил оригинал из папки, и не зашифровал его, а просто создал копию и уже копию зашифровал. Таких примеров большое количество

Безымянный.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

Витас

Витас

Опубликовано
  • Автор
Опубликовано
7 минут назад, thyrex сказал:

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

С этим понятно, файлы не расшифровать. Тогда второй вопрос, как остановить дальнейшее заражение системы? В данный момент внутри одной из папок идет процесс шифрования

Безымянный.png

thyrex

thyrex

Опубликовано
Опубликовано

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
18 минут назад, thyrex сказал:

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Витас

Витас

Опубликовано
  • Автор
Опубликовано
24.07.2024 в 22:45, Витас сказал:

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Доброе утро, форумчане. Рассказываю, чем закончилась история. В локальной сети и на двух удаленных компьютерах шифровальщик найден не был. При выключенных машинах процесс шифрования продолжался. Вариант решения: на роутере TP-Link AX53 был поднят VPN- туннель (PPTP), доступ раздали только удаленным машинам, процесс шифрования завершился. Предположу, что шифровальщик сидел на какой-то машине на просторах интернета 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • База
      Вирус переименовал все файл и сменил расширение
      Автор База
      вирус переименовал все файлы на жестком диске, у всех файлов прибавилось название ".uquee8Sh" и появились текстовые файлы recovery.txt с содержанием: 
       
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://getsession.org/ и добавьте нас

      050bc870bf776bdcec76e49ae9be7238d08d360e58e998de85d1ec789cb87fe933
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
       
      Сообщение от модератора thyrex Перенесено из https://forum.kasperskyclub.ru/topic/60927-virus-pereimenoval-vse-fayl-i-smenil-rasshirenie-na-crypted000007
       
       
       
       
       
       
    • ashi76
      Зашифрованые файлы с разрешением .yo8Al9oo
      Автор ashi76
      Logs.rar
      RECOVERY.rar RECOVERY.rar
    • Alexius51
      Зашифровало все файлы на сетевом хранилище
      Автор Alexius51
      На сетевом хранилище шифронуло все файлы, хранилище - MyCloud, имеет открытый доступ из вне. Остались "типа" оригиналы файлов со своим именем, например - "резка Plenka exter 50x51 04-15 24.12.19.cdr" с весом 0Kb и появились дубли с именем - "резка Plenka exter 50x51 04-15 24.12.19.cdr.[yaroslav.tretyakov@protonmail.com].Kaish7za". Тип файла был - Corel, стал - Kaish7za.
      Подскажите можно ли вылечить? И как?
    • Emik
      Шифровальщик SCARAB, расширение файлов .b78vi7v6ri66b
      Автор Emik
      Добрый день!

      Шифровальщик SCARAB, зашифровал документы расширение файлов .b78vi7v6ri66b.
      Направляю Вам файлы для анализа.
       
      HOW TO RECOVER ENCRYPTED FILES.TXT
      CollectionLog-2019.12.06-12.39.zip
    • Azeures
      Файлы зашифрованы с расширением .[ooosferaplus@protonmail.com].nae2iNg6
      Автор Azeures
      Решил проверить архив фотографий на своём НАС-е (ZyXel 325) и оказалось что большинсво файлов зашифрованны с расширением [ooosferaplus@protonmail.com].nae2iNg6. При этом без разбора фото, видео, документы. Произошло это 26.10.2019, так как это дата изменения для большинсва файлов. Прошу помочь расшифровать так как там огромное количество семейных фото и видео.
      Благодарю.
      CollectionLog-2019.11.16-20.15.zip
      Примеры файлов.7z
×
×
  • Создать...