0kilobyte Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

[Витас]

Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом)  и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах  в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)

Arhiv.zip

 

Добрый вечер! Прошу прощения, не поздоровался

[kmscom]

33 минуты назад, Витас сказал:

не поздоровался

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

[Витас]

1 минуту назад, kmscom сказал:

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

Инструкцию прочитал, но Вы правы, в архиве файл с расширением .hta, что нарушает правила. Подскажите пожалуйста могу изменить состав архива или хотя бы его запаролить?

 

[thyrex]

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

[Витас]

2 минуты назад, thyrex сказал:

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Не очень уверен, но остальные компьютеры не затронуты, это единственный компьютер, на котором проброшен порт в роутере на статический ip. Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию? Какую процедуру лечения стоит провести?

[thyrex]

5 минут назад, Витас сказал:

Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию?

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

6 минут назад, Витас сказал:

это единственный компьютер, на котором проброшен порт в роутере на статический ip

источник проникновения - не то же самое, что источник шифрования.

[Витас]

20 часов назад, thyrex сказал:

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

источник проникновения - не то же самое, что источник шифрования.

В архиве есть пример такого файла.

 

20 часов назад, Витас сказал:

В архиве есть пример такого файла.

Файл "Информационное письмо.jpg" подлежит открытию, хотя и имеет зашифрованного двойника в этой же папке. То есть вирус не удалил оригинал из папки, и не зашифровал его, а просто создал копию и уже копию зашифровал. Таких примеров большое количество

[thyrex]

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

[Витас]

7 минут назад, thyrex сказал:

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

С этим понятно, файлы не расшифровать. Тогда второй вопрос, как остановить дальнейшее заражение системы? В данный момент внутри одной из папок идет процесс шифрования

[thyrex]

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

[Витас]

18 минут назад, thyrex сказал:

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

[Витас]

24.07.2024 в 22:45, Витас сказал:

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Доброе утро, форумчане. Рассказываю, чем закончилась история. В локальной сети и на двух удаленных компьютерах шифровальщик найден не был. При выключенных машинах процесс шифрования продолжался. Вариант решения: на роутере TP-Link AX53 был поднят VPN- туннель (PPTP), доступ раздали только удаленным машинам, процесс шифрования завершился. Предположу, что шифровальщик сидел на какой-то машине на просторах интернета