proton Зашифровали два ПК в разных городах (видимо через RDP) и ПК в общей сети, плюс файлы на Dropbox

[safety]

15 минут назад, Laz2516 сказал:

ПК 2 надо проверять? (файловый архив кторый)

Да не помешают логи FRST, зашифрованные файлы и записка о выкупе есть есть

[Laz2516]

Файлы с ПК 2

 

FRST сьедал всю память, выскакивало предупреждение о нехватки памяти. Процесс занимал почти 2,5 Гб

На ПК2 памяти всего 4 Гб.....

 

 

ПК2.zip Addition.txt FRST.txt

 

Боюсь что с удаленного ПК 3 без физического присутствия я ничего не могу взять. Зашел удаленно туда, но ни одно приложение на запускается. Пробовал браузеры Хром и Эдж. Чтобы там скачать FRST. Кстати, он без впн не скачивается...(

Через буфер обмена и RDP перенес на удаленный компьютер программу FRST , но она не запускается....

 

Файлы с ПК 3

Без логов FRST

 

 

ПК3.zip

[safety]

ID в зааписке на ПК2 такой же как и на первом. Если файлы были зашифрованы только в папке USERS, которая могла быть расшарена для записи, тогда запуска шифровальщика не было на этом ПК, пострадали только шары, которые были зашифрованы с первого ПК,

3 минуты назад, Laz2516 сказал:

Файлы с ПК 3

Здесь другое расширение, и другой ID, значит шифровальщик был запущен на этом ПК. тот же Proton

Для доп. анализа проверьте ЛС

[Laz2516]

От имени администратора удалось запустить на ПК3 FRST

 

В диспетчере задач вижу что и хром и эдж запущены и открыты в них окна, но на рабочем столе не вижу ничего кроме самого рабочего стола.

 

Вот логи с ПК 3

 

 

Addition.txt FRST.txt

[safety]

2 минуты назад, Laz2516 сказал:

От имени администратора удалось запустить на ПК3 FRST

Его и надо запускать от имени Администратора.

 

Проверьте пока ЛС.

[Laz2516]

3 минуты назад, safety сказал:

Здесь другое расширение, и другой ID, значит шифровальщик был запущен на этом ПК. тот же Proton

 

Возможно именно с ПК3. По RDP.  Мучаюсь в загадке откуда...взялся. Компьютер просто работает для доступа в домашнюю сеть и на NAS Синелоджи (если там зашифровалось, не страшно. Он пустой, только ПО обновляеттся. )

Деструктивных закачек, сайтов не было. Может был спящий вирус...

[safety]

по ПК43 можно поступить стандартно,

сделать доп. логи ESVC, и дать ссылку на загрузку в ЛС

+

затем

запустить для проверки KVRT, если там сэмплы остались, то KVRT их должен найти. Скорее всего опять же в стандартной папке *x64

Изменено 27 марта пользователем safety

[Laz2516]

3 часа назад, safety сказал:

 

 

 

3 часа назад, safety сказал:

затем

запустить для проверки KVRT, если там сэмплы остались, то KVRT их должен найти. Скорее всего опять же в стандартной папке *x64

попробую сделать на удаленном ПК 3

 

все понял

 

идет сканирование KVRT

вижу что найден в System Memory вирус Trojan.Multi.BroSubsc.gen   на ПК 3

Изменено 27 марта пользователем safety

[safety]

CСэмпл шифровальщика был дополнительно заражен вирусом Neshta,

            <Event3 Action="Detect" Time="134190903702111221" Object="C:\Program Files (x86)\2gis\3.0\2GISUpdateService.exe" Info="Virus.Win32.Neshta.a" />

поэтому и все исполняемые файлы заражены, имеет смысл проверить систему с загрузочного диска KRD чтобы вылечить зараженные файлы.