Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.

1.zip

Опубликовано (изменено)
6 часов назад, Zafod сказал:

Произошло шифрование файлом Locker.exe

Хэш этого файла можете сравнить с:

9AD387A2B1D5002147AAAFD1EF89ABCEDC29AF31   ?

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

 

Так понимаю, зашифровано больше устройств чем эти два.

Изменено пользователем safety
Опубликовано
10 часов назад, safety сказал:

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

Как вытащить файл из карантина KES?

10 часов назад, safety сказал:

Так понимаю, зашифровано больше устройств чем эти два.

Верно.

Опубликовано (изменено)
4 часа назад, Zafod сказал:

Как вытащить файл из карантина KES?

зайти в функцию карантина, и восстановить файл в папку (обратите внимание, куда будет восстановлен файл, скорее всего у KES нет функции куда восстановить указанный файл, а только в ту папку, откуда он был удален). Возможно, на него будет реагировать антивирус, поэтому защиту надо временно отключить. После архивации файла и загрузки архива на облачный диск, можно опять этот файл  отправить в "расход". И включить защиту.

 

проверил. Хэш другой, по сравнению со случаем от 03.08

AA4B6A653F3F5C2B66D9F5E580FFEFB94C860145

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • ovfilinov
      Автор ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • Сергей Комаров
      Автор Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Razor103
      Автор Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
    • IvanSakh
      Автор IvanSakh
      Добрый день, поймали шифр овальщик расширение стало 58f9e96cf239c4, зашифрованные файлы, лог сканирования системы и фаил с требованием во вложении.
      E.zip
×
×
  • Создать...