Перейти к содержанию

Рекомендуемые сообщения

Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.

1.zip

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, Zafod сказал:

Произошло шифрование файлом Locker.exe

Хэш этого файла можете сравнить с:

9AD387A2B1D5002147AAAFD1EF89ABCEDC29AF31   ?

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

 

Так понимаю, зашифровано больше устройств чем эти два.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, safety сказал:

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

Как вытащить файл из карантина KES?

10 часов назад, safety сказал:

Так понимаю, зашифровано больше устройств чем эти два.

Верно.

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Zafod сказал:

Как вытащить файл из карантина KES?

зайти в функцию карантина, и восстановить файл в папку (обратите внимание, куда будет восстановлен файл, скорее всего у KES нет функции куда восстановить указанный файл, а только в ту папку, откуда он был удален). Возможно, на него будет реагировать антивирус, поэтому защиту надо временно отключить. После архивации файла и загрузки архива на облачный диск, можно опять этот файл  отправить в "расход". И включить защиту.

 

проверил. Хэш другой, по сравнению со случаем от 03.08

AA4B6A653F3F5C2B66D9F5E580FFEFB94C860145

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

При наличие лицензии на продукты Касперского лучше сделать запрос в техническую поддержку, хотя с расшифровкой, скорее всего, не смогут помочь по данному типу шифровальщика.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Razor103
      От Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
    • IvanSakh
      От IvanSakh
      Добрый день, поймали шифр овальщик расширение стало 58f9e96cf239c4, зашифрованные файлы, лог сканирования системы и фаил с требованием во вложении.
      E.zip
    • amigolds
      От amigolds
      Всем добрый вечер.
      Поймали под конец недели шифровальщика на серверах - f133cdb8782e22
      Lockhelp1998@skiff.com
      retryit1998@tutamail.com
       
      Documents.rar FRST.txt
    • Алексей_DML
      От Алексей_DML
      Добрый день. Столкнулся с шифровальщиком, который зашифровал множество важных файлов и изменил их расширение на 54a8afd423597a. Операционная система была Windows server 2019.  Farbar Recovery Scan Tool применить нет возможности, так как заражённая машина является контролером домена, залогиниться невозможно. 2 зашифрованных файла и файл с требованиями злоумышленников прилагаю. Буду благодарен за любую помощь. Заранее спасибо.
      Файлы.rar
×
×
  • Создать...