Автор
dtropinin
Здравствуйте специалисты.
вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
выключил быстро комп.
в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
Диск E - вообще не пострадал.
Диск М - вообще не пострадал.
На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
Одна из них - Win7.
На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
---------------------------------------
В системе установлена служба.
Имя службы: KProcessHacker3
Имя файла службы: C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы: драйвер режима ядра
Тип запуска службы: Вручную
Учетная запись службы:
---------------------------------------
далее я нашел на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
Автор Шустов А.В.
Автор Максим Шахторин
Автор dtropinin
Автор Flange
Автор Malsim
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти