0kilobyte Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

24 июля, 2024

Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом) и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)

Arhiv.zip

Добрый вечер! Прошу прощения, не поздоровался

24 июля, 2024

33 минуты назад, Витас сказал:

не поздоровался

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

24 июля, 2024

1 минуту назад, kmscom сказал:

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

Инструкцию прочитал, но Вы правы, в архиве файл с расширением .hta, что нарушает правила. Подскажите пожалуйста могу изменить состав архива или хотя бы его запаролить?

24 июля, 2024

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

24 июля, 2024

2 минуты назад, thyrex сказал:

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Не очень уверен, но остальные компьютеры не затронуты, это единственный компьютер, на котором проброшен порт в роутере на статический ip. Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию? Какую процедуру лечения стоит провести?

24 июля, 2024

5 минут назад, Витас сказал:

Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию?

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

6 минут назад, Витас сказал:

это единственный компьютер, на котором проброшен порт в роутере на статический ip

источник проникновения - не то же самое, что источник шифрования.

24 июля, 2024

20 часов назад, thyrex сказал:

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

источник проникновения - не то же самое, что источник шифрования.

В архиве есть пример такого файла.

20 часов назад, Витас сказал:

В архиве есть пример такого файла.

Файл "Информационное письмо.jpg" подлежит открытию, хотя и имеет зашифрованного двойника в этой же папке. То есть вирус не удалил оригинал из папки, и не зашифровал его, а просто создал копию и уже копию зашифровал. Таких примеров большое количество

24 июля, 2024

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

24 июля, 2024

7 минут назад, thyrex сказал:

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

С этим понятно, файлы не расшифровать. Тогда второй вопрос, как остановить дальнейшее заражение системы? В данный момент внутри одной из папок идет процесс шифрования

24 июля, 2024

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

24 июля, 2024

18 минут назад, thyrex сказал:

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования

26 июля, 2024

24.07.2024 в 22:45, Витас сказал:

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования

Доброе утро, форумчане. Рассказываю, чем закончилась история. В локальной сети и на двух удаленных компьютерах шифровальщик найден не был. При выключенных машинах процесс шифрования продолжался. Вариант решения: на роутере TP-Link AX53 был поднят VPN- туннель (PPTP), доступ раздали только удаленным машинам, процесс шифрования завершился. Предположу, что шифровальщик сидел на какой-то машине на просторах интернета

0kilobyte Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

Рекомендуемые сообщения

Витас

kmscom

Витас

thyrex

Витас

thyrex

Витас

thyrex

Витас

thyrex

Витас

Витас

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum