Зашифровали файловый сервер XigmaNas

Суббота в 14:10

Доброго дня. Подскажите как узнать что за шифровщик (а то в личном кабинете нет куда обратиться). Сервер работает на системе FreeBSD, с открытой шарой. Можно тут зашифрованный файл прикрепить?

Суббота в 14:22

Можно здесь прикрепить небольшие несколько файлов + записку о выкупе в одном архиве без пароля.

Суббота в 17:59

Прикрепил в архиве 2 файла и записка txt. Заранее спасибо.

file.zip

Воскресенье в 00:37

Возможно, что это Proxima.

Если зашифрованы только файлы общей папки на сервере, и эта папка доступна с рабочих станций, надо смотреть на каком из устройств в ЛС был запуск шифровальщика.

На этом устройстве сделайте логи FRST.

Воскресенье в 06:28

Пока поставили Касперский премиум на 4 пк, при быстром сканирование не чего не обнаружил (сделаю тогда полное). Там на файловый сервер был включен удаленный доступ, вот мне кажется, что как то так произошло зашел удаленно запустил, следы подчистил. Но все таки подскажите как называется что надо найти на рабочих пк. Просканирую все FRST/

Воскресенье в 11:22

Proxima вряд может быть запущена под FreeBSD. Если серверная шара подключается как сетевой диск на устройствах сети, надо смотреть от какого пользователя сделаны изменения

Смотрите, есть на устройствах сети, кроме сервере файлы с этим расширением *.Rosti, и записки Rosti_Help.txt

Rosti_Help.txt

Изменено Воскресенье в 11:26 пользователем safety

19 часов назад

Доброго вечера, вот снял логи упаковал в архив. Ну я спросил у неро сети если что подозрительное ответила один файл которой официальный но название специфичное. Поизучал данный шифровальщик в интернете с большой долей вероятности это Proxima похож по структуре которое он оставил письма .

FRST.zip

12 часов назад

Судя по логам FRST здесь на устройствах нет следов запуска шифровальщика.

Искать на устройствах надо файлы с расширением *Rosti, и по имени Rosti_Help.txt

8 часов назад

На устройствах искать, кто теоретически мог заходить? мне кажется это удаленно на прямую зашли. А вообще есть в Касперском платная услуга по дешифровки.

7 часов назад

В третий раз вам уже пишу.

На устройствах в ЛС искать файлы с расширением *.Rosti, и по имени "Rosti_Help.tx"t на системном диске (не на сетевой шаре).

Если найдете такое устройство в вашей ЛС, то с большой вероятностью, именно на этом устройстве и был запуск шифровальщика.

Вот с него и надо собрать логи FRST.

Или создайте запрос в вирлаб при наличие лицнзии на продукт Касперского.

Зашифровали файловый сервер XigmaNas

Рекомендуемые сообщения

Институт

safety

Институт

safety

Институт

safety

Институт

safety

Институт

safety

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum