Перейти к содержанию

Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u

Витас
 Поделиться

Рекомендуемые сообщения

Витас Новичок

Витас

Опубликовано
Опубликовано

Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом)  и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах  в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)

Arhiv.zip

 

Добрый вечер! Прошу прощения, не поздоровался

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
1 минуту назад, kmscom сказал:

и это не прочитали https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

Инструкцию прочитал, но Вы правы, в архиве файл с расширением .hta, что нарушает правила. Подскажите пожалуйста могу изменить состав архива или хотя бы его запаролить?

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
2 минуты назад, thyrex сказал:

@kmscom, скачать архив и удостовериться, что там есть всё, не пробовали? Тогда лучше не встревать.

 

@Витас, вечер добрый. Уверены, что этот компьютер стал источником шифрования? В любом случае файлы забиты нулевыми байтами и такое не подлежит восстановлению.

Не очень уверен, но остальные компьютеры не затронуты, это единственный компьютер, на котором проброшен порт в роутере на статический ip. Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию? Какую процедуру лечения стоит провести?

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex изменил название на Вирус-шифровальщик атаковал компьютер. Расширение .Iekoot5u
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
5 минут назад, Витас сказал:

Не поможет даже тот факт, что некоторые файлы после шифрования подлежат открытию?

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

6 минут назад, Витас сказал:

это единственный компьютер, на котором проброшен порт в роутере на статический ip

источник проникновения - не то же самое, что источник шифрования.

Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
20 часов назад, thyrex сказал:

В смысле окрываются без проблем? Тогда они возможно были только переименованы.

 

 

источник проникновения - не то же самое, что источник шифрования.

В архиве есть пример такого файла.

 

20 часов назад, Витас сказал:

В архиве есть пример такого файла.

Файл "Информационное письмо.jpg" подлежит открытию, хотя и имеет зашифрованного двойника в этой же папке. То есть вирус не удалил оригинал из папки, и не зашифровал его, а просто создал копию и уже копию зашифровал. Таких примеров большое количество

Безымянный.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
7 минут назад, thyrex сказал:

Это ни о чем не говорит, кроме как об ошибке в коде шифровальщика, ошибке доступа к изменению файла, и никак не поможет восстановлению других файлов, если они в переименованном виде забиты нулями. Причем размер файла при успешном шифровании похоже должен был увеличится в размере порядка на 2 килобайта.

Screenshot_12.jpg.77556ef2a7b8fd7460496c654db2d5b3.jpg

С этим понятно, файлы не расшифровать. Тогда второй вопрос, как остановить дальнейшее заражение системы? В данный момент внутри одной из папок идет процесс шифрования

Безымянный.png

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
18 минут назад, thyrex сказал:

Значит ищите, на каком из компьютеров еще запущен шифровальщик, и присылайте логи с него. Текущий компьютер вне подозрений.

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Ссылка на комментарий
Поделиться на другие сайты
Витас Новичок

Витас

Опубликовано
  • Автор
Опубликовано
24.07.2024 в 22:45, Витас сказал:

Принято, значит будем завтра как-то вычислять компы... Странно, что программа Kaspersky никак не вмешивается в процесс шифрования 

Доброе утро, форумчане. Рассказываю, чем закончилась история. В локальной сети и на двух удаленных компьютерах шифровальщик найден не был. При выключенных машинах процесс шифрования продолжался. Вариант решения: на роутере TP-Link AX53 был поднят VPN- туннель (PPTP), доступ раздали только удаленным машинам, процесс шифрования завершился. Предположу, что шифровальщик сидел на какой-то машине на просторах интернета 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...