Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Зашифрована спортивная школа

switchman
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Систему сканировали антивирусами? Можете добавить логи сканирования?

вижу, что есть папка:

2024-12-25 15:28 - 2024-12-25 15:46 - 000000000 ____D C:\KRD2024_Data

+

добавьте данный файл:

2024-12-25 05:03 - 2024-12-25 11:50 - 000000465 _____ C:\ProgramData\#Recover-Files.txt

+

этот файл:

2024-12-25 05:32 - 2024-12-25 11:50 - 002359350 _____ C:\ProgramData\Eclipse.bmp

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
switchman Новичок

switchman

Опубликовано
  • Автор
Опубликовано

Здравствуйте!
Я делал эту сеть 12 лет назад, потом уехал в другой город, поэтому извините за небыструю реакцию - основная работа, которая обязывает... Буду отвечать в этой теме, с контроллера домена, по мере возможности. Еще, мне кто-то написал, по нашему, скорбному, поводу в Телеге, с аккаунта Help Desk... Если ЭТО от Вас, то можно еще и там...

 

Eclipse.bmp ищу, логи сканирования, после сканирования КД...

#Recover-Files.txt

Правильно сделал?

Отчет SOS 27122024_1.tx

Eclipse.rar

 

Нужен счёт на СОС, клиент-серверный, пока эти раздолб@и в ужасе и готовы оплатить.... А то, после праздников, когда закончится пробная лицензия, я их жидкие мозги в правильную лужу не соберу (по своему, горькому, опыту)

E0B5BEDA-4262-427F-8016-7ECEE9430DD2
Как получить счёт?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По логу SOS:

сэмпл был завирусован дополнительно Neshta:

Virus.Win32.Neshta.a

Часть легальных исполняемых файлов по итогу была завирусована

Поэтому рекомендуем пролечить систему с помощью загрузочного KRD

 

По типу шифровальщика:

C большой вероятностью это Sauron - создан на базе утекшего кода Conti.

Пример сэмпла с аналогичным шифрованием здесь.

Сэмпл шифровальщика может иметь имя cryptor.exe, чаще всего размешают на рабочий стол.
 

Цитата

 

C:\Program Files\#Recover-Files.txt

C:\Program Files\7-Zip\7-zip.chm.[ID-C6790C61].[hedaransom@gmail.com].unslu

 

 

По лицам, которые что-то пишут вам в ТГ.

Мы (т.е. консультанты данного форума) этого не делаем

Возможно пишут посредники, которые читают вашу тему, и нашли  ваш ак в ТГ, или злоумышленники.

 

Как купить корпоративный продукт Касперского:

https://www.kaspersky.ru/small-to-medium-business-security/how-to-buy

----------

С расшифровкой файлов по данному типу шифровальщика не сможем помочь. Без приватного ключа.

Восстановление возможно с бэкапов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • timmonn
      Зашифрованы все файлы.
      Автор timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • ngor
      Зашифровались базы1С и не только
      Автор ngor
      Добрый день можете проверить пожалуйста у нас он повредил все быза(((
      Файлы.rar
    • KasatkinMihail
      Зашифровали рабочий сервер
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
×
×
  • Создать...