Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Зашифрована спортивная школа

switchman
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Систему сканировали антивирусами? Можете добавить логи сканирования?

вижу, что есть папка:

2024-12-25 15:28 - 2024-12-25 15:46 - 000000000 ____D C:\KRD2024_Data

+

добавьте данный файл:

2024-12-25 05:03 - 2024-12-25 11:50 - 000000465 _____ C:\ProgramData\#Recover-Files.txt

+

этот файл:

2024-12-25 05:32 - 2024-12-25 11:50 - 002359350 _____ C:\ProgramData\Eclipse.bmp

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
switchman Новичок

switchman

Опубликовано
  • Автор
Опубликовано

Здравствуйте!
Я делал эту сеть 12 лет назад, потом уехал в другой город, поэтому извините за небыструю реакцию - основная работа, которая обязывает... Буду отвечать в этой теме, с контроллера домена, по мере возможности. Еще, мне кто-то написал, по нашему, скорбному, поводу в Телеге, с аккаунта Help Desk... Если ЭТО от Вас, то можно еще и там...

 

Eclipse.bmp ищу, логи сканирования, после сканирования КД...

#Recover-Files.txt

Правильно сделал?

Отчет SOS 27122024_1.tx

Eclipse.rar

 

Нужен счёт на СОС, клиент-серверный, пока эти раздолб@и в ужасе и готовы оплатить.... А то, после праздников, когда закончится пробная лицензия, я их жидкие мозги в правильную лужу не соберу (по своему, горькому, опыту)

E0B5BEDA-4262-427F-8016-7ECEE9430DD2
Как получить счёт?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По логу SOS:

сэмпл был завирусован дополнительно Neshta:

Virus.Win32.Neshta.a

Часть легальных исполняемых файлов по итогу была завирусована

Поэтому рекомендуем пролечить систему с помощью загрузочного KRD

 

По типу шифровальщика:

C большой вероятностью это Sauron - создан на базе утекшего кода Conti.

Пример сэмпла с аналогичным шифрованием здесь.

Сэмпл шифровальщика может иметь имя cryptor.exe, чаще всего размешают на рабочий стол.
 

Цитата

 

C:\Program Files\#Recover-Files.txt

C:\Program Files\7-Zip\7-zip.chm.[ID-C6790C61].[hedaransom@gmail.com].unslu

 

 

По лицам, которые что-то пишут вам в ТГ.

Мы (т.е. консультанты данного форума) этого не делаем

Возможно пишут посредники, которые читают вашу тему, и нашли  ваш ак в ТГ, или злоумышленники.

 

Как купить корпоративный продукт Касперского:

https://www.kaspersky.ru/small-to-medium-business-security/how-to-buy

----------

С расшифровкой файлов по данному типу шифровальщика не сможем помочь. Без приватного ключа.

Восстановление возможно с бэкапов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • Михаил79
      зашифровали компьютер с 1С
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

×
×
  • Создать...