Перейти к содержанию

Рекомендуемые сообщения

всем добрый день. утром обнаружили сию бяку. read.zipпо словам it " мастера " был установлен еще и какой-то удаленный доступ левый а-ля vnc. 
прикладываю логи, архив с зашифрованными файлами и найденный запароленый архив с расшифровщиком.
 

Addition.txt FRST.txt 7730-decrypter.rar

Ссылка на сообщение
Поделиться на другие сайты

Идентифицировать шифровальщик не получается, да и скорее всего расшифровки все равно нет. Похоже каждый файл шифруется своим ключом.

 

Чистка мусора в системе нужна или система под переустановку?

Ссылка на сообщение
Поделиться на другие сайты
40 минут назад, thyrex сказал:

Чистка мусора в системе нужна или система под переустановку?

под переустановку и нормальной настройкой под бухгалтера(

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, qwedrew сказал:

под переустановку и нормальной настройкой под бухгалтера(

тело шифровальщика не смогли найти? антивирусные проверки выполняли в системе после шифрования?

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, safety сказал:

тело шифровальщика не смогли найти? антивирусные проверки выполняли в системе после шифрования?

не успел. мне отдали комп уже после обработки антивирусом, который все поудалял. 

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, qwedrew сказал:

мне отдали комп уже после обработки антивирусом, который все поудалял. 

Может в карантине антивируса осталась информация по тому что было удалено? Это важно для определения типа шифровальщика.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, safety сказал:

Может в карантине антивируса осталась информация по тому что было удалено? Это важно для определения типа шифровальщика.

как на руки комп получу, если получу, дать информацию. спасибо за помощь)

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, ждем ваш ответ.

Тип шифровальщика возможно что-то новое, или известный, но пока без определения, записки о выкупе и зашифрованного файла недостаточно сейчас для определения типа.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

    • Veresk
      От Veresk
      Всем доброго дня.
       
      Физический сервер, Windows 2003 R2 (Service Pack 2), лицензия, антивируса нет. Два стечения обстоятельств - забытая старая учетка с довольно простым паролем и открытый RDP (хоть и не на стандартном порту), который открывался на "пару дней" полгода назад. Под конец рабочего дня, некто, с канадского IP (если верить логам - Имя клиента: WIN-SLK700A2O30,  Адрес клиента: 172.245.27.60) зашел по RDP на сервер, и сделал свое грязное дело. Обнаружилось все только на следующее утро.
       
      На сервере крутится библиотечная база, бэкап базы есть (пусть и месячной давности), но самая большая потеря - это электронные копии статей/книг/публикаций и т.п..
       
      Отправляли зашифрованные файлы в drweb, там определили заразу как Trojan.Encoder #Maoloa, и расшифровать они не могут.
       
      В архиве есть пара файлов в нормальном и зашифрованном виде ("Задание_на_обновление_базы_Web.bat" и "КАБИС. Catalog.doc")
       
      Для просмотра уведомления о том что файлы зашифрованы нужно было запустить "HOW TO BACK YOUR FILES.exe", который по сути показывал html-страничку, 
      FRST.txt Addition.txt __KABIS_VIRUS.zip how_to_back_your_files.html
    • KOST123456
      От KOST123456
      7Lv3r0bSe.[QGFTLy9TY].[NetworkAi@Tuta.io].Phalcon
×
×
  • Создать...