Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Поймал шифровальщика (предположительно Trojan.Encoder.37448)

trambler3
 Поделиться

Рекомендуемые сообщения

trambler3

trambler3

Опубликовано
Опубликовано

1. ОС переустановлена т.к. необходимо рабочее место.

2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 

F.7z

safety

safety

Опубликовано
Опубликовано

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

trambler3

trambler3

Опубликовано
  • Автор
Опубликовано
13 часов назад, safety сказал:

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

Windows 10 на пользовательском ПК через который предположительно и была атака.

Файлы зашифрованные с "шары", о которой писал выше.

safety

safety

Опубликовано
Опубликовано
Цитата

Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3"

В логам сканирования сервера должно быть запись об обнаружении данного ransomware. Проверьте что есть в логах сканирования на сервере, и добавьте логи FRST с сервера.

AA_v3 - это скорее всего утилита для удаленного доступа Ammyy Admin

Ч_Александр

Ч_Александр

Опубликовано
Опубликовано (изменено)

Аналогичная ситуация.
Есть скрин. Чел нечаянно очистил все и вся.
DRWEB ответил  Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

Вашими силами возможна?

Скрин.png

Изменено пользователем Ч_Александр
safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Ч_Александр сказал:

Аналогичная ситуация.

Отдельную тему создайте в данном разделе, там и будем разбираться. Здесь не пишите больше.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dpk
      .1cxz шифровальщик на сервере.
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • SonG
      Шифровальщик .8sm (#HowToRecover) krypt1@onionmail.org / krypt2@onionmail.org
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • Bionikal
      Вирус зашифровал папки с 1с базами
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • andry-555
      Вирус зашифровал папки в общем доступе
      Автор andry-555
      вирус зашифровал все файлы в папках в открытом доступе кроме файлов с расширением *.exe в каждой папке создал файла 2 файла от либо возможно было 2 вируса
      файлы с расширением *.exe заражены вирусом NeshtaFRST.txtAddition.txt
      архив с файлами и требованиями злоумышленников.zip
×
×
  • Создать...