Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

Витас
 Поделиться

Рекомендуемые сообщения

Витас

Витас

Опубликовано
Опубликовано

Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом)  и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах  в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)

Arhiv.zip

 

Добрый вечер! Прошу прощения, не поздоровался

  • Улыбнуло 1
Витас

Витас

Опубликовано
  • Автор
Опубликовано
1 минуту назад, kmscom сказал:

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

Инструкцию прочитал, но Вы правы, в архиве файл с расширением .hta, что нарушает правила. Подскажите пожалуйста могу изменить состав архива или хотя бы его запаролить?

 

thyrex

thyrex

Опубликовано
Опубликовано

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
2 минуты назад, thyrex сказал:

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Не очень уверен, но остальные компьютеры не затронуты, это единственный компьютер, на котором проброшен порт в роутере на статический ip. Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию? Какую процедуру лечения стоит провести?

  • thyrex изменил название на Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u
thyrex

thyrex

Опубликовано
Опубликовано
5 минут назад, Витас сказал:

Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию?

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

6 минут назад, Витас сказал:

это единственный компьютер, на котором проброшен порт в роутере на статический ip

источник проникновения - не то же самое, что источник шифрования.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
20 часов назад, thyrex сказал:

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

источник проникновения - не то же самое, что источник шифрования.

В архиве есть пример такого файла.

 

20 часов назад, Витас сказал:

В архиве есть пример такого файла.

Файл "Информационное письмо.jpg" подлежит открытию, хотя и имеет зашифрованного двойника в этой же папке. То есть вирус не удалил оригинал из папки, и не зашифровал его, а просто создал копию и уже копию зашифровал. Таких примеров большое количество

Безымянный.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

Витас

Витас

Опубликовано
  • Автор
Опубликовано
7 минут назад, thyrex сказал:

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

С этим понятно, файлы не расшифровать. Тогда второй вопрос, как остановить дальнейшее заражение системы? В данный момент внутри одной из папок идет процесс шифрования

Безымянный.png

thyrex

thyrex

Опубликовано
Опубликовано

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Витас

Витас

Опубликовано
  • Автор
Опубликовано
18 минут назад, thyrex сказал:

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Витас

Витас

Опубликовано
  • Автор
Опубликовано
24.07.2024 в 22:45, Витас сказал:

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Доброе утро, форумчане. Рассказываю, чем закончилась история. В локальной сети и на двух удаленных компьютерах шифровальщик найден не был. При выключенных машинах процесс шифрования продолжался. Вариант решения: на роутере TP-Link AX53 был поднят VPN- туннель (PPTP), доступ раздали только удаленным машинам, процесс шифрования завершился. Предположу, что шифровальщик сидел на какой-то машине на просторах интернета 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foxss
      Поймал вирус. Добавляет к файлам расширение *.vi87FaHy
      Автор foxss
      текстовый документ лежит во всех папках. называется "HOW TO DECRYPT FILES" и гласит:
       
      Внимание! Все Ваши файлы зашифрованы!
      Чтобы узнать как восстановить свои файлы и получить к ним доступ,
      отправьте письмо на почту avastvirusinfo@yandex.ru с текстом: "ID:vi87FaHy".
       
      What happened to your files?
      All of your files were protected by a strong encryption.
      There is no way to decrypt your files without the key.
      If your files not important for you just reinstall your system.
      If your files is important just email us to discuss the price and how to decrypt your files.
      You can email us to avastvirusinfo@yandex.ru
      Your ID: vi87FaHy
       
      пример шифрованного файла здесь http://rgho.st/87MBqmMDb
       
      у меня win x64
      virusinfo_syscheck.zip
      hijackthis.log
    • klm792
      Как расшифровать файлы *.
      Автор klm792
      Сегодня утром увидел, что в облачном накопителе все файлы стали отображаться с расширением *.crypt и имеют подобный вид: 9905_01873.jpg.[iyieg9eB@secmail.pro].CRYPT Причём и картинки и видео и воровские документы. Есть ли какое-либо лечение? Можно ли вернуть файлы обратно?
    • BGSlavik
      !ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt
      Автор BGSlavik
      В моих документах появился текстовой файл. 
      !!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt
      CollectionLog-2018.12.04-16.24.zip
      Скрин.docx
    • ivlevka
      Вирус сменил расширение файлов
      Автор ivlevka
      Здравствуйте! Аналогичная ситуация, вирус зашифровал все файлы. Отчет программы во вложении. Так же есть зашифрованный файл и такой же, но нормальный, возможно получиться на его основе расшифровать или хотя бы понять как это сделать.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
       
      Получилось немного не информативно, просто сообщение делал в другой теме.
      файлы имеют следующее название
       
       график.xlsx.[biK1quei@secmail.pro].cr
      download.zip
    • Игорь89
      Вирус (ieNga7Ai@danwin1210.me) меняет размер файла на 0 Kb, после чего файлы не открываются.
      Автор Игорь89
      Здравствуйте! Недавно появилась проблема с файлами в одной маленькой фирме. Все файлы начали менять свой размер на 0 Kb, после чего файлы не открываются. И появились txt файлы с именем (!!!ПОМОЖЕМ_ВАМ_С_ФАЙЛАМ_ПИШИТЕ_НА_(ieNga7Ai@danwin1210.me). Переписка ни чего не дала. Адресат потерялся. У нас 4 рабочих места. С какого именно компьютера, заразился файловый сервер не понятно. Что делать?
      CollectionLog-2018.08.15-11.50.zip
×
×
  • Создать...