Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

компьютер-сервер 1С поймал шифровальщик

Bek777
 Поделиться

Рекомендуемые сообщения

Bek777

Bek777

Опубликовано
Опубликовано

Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.

FRST.rarHowToRecover.rar

Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
10 минут назад, Bek777 сказал:

Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.

FRST.rar 43.74 kB · 0 загрузок HowToRecover.rar 286.39 kB · 0 загрузок

Извините, добавляю логи с KVRT ниже...

 

https://cloud.mail.ru/public/VPn9/qK4kwynHL

safety

safety

Опубликовано
Опубликовано (изменено)
13 минут назад, Bek777 сказал:

Извините, добавляю логи с KVRT ниже...

Обнаружений много, в том числе и среди инструментов злоузмышленников, например Mimikatz, но детект Ransom не виден. Возможно это это был Proton. и возможно что сэмпл сэмпл был заражен вирусом, судя по детектам:

Win32.DarkKomet.hqxy

Имеет смысл проверить/пролечить полностью системный диск с загрузочного диска KRD,

 

В этой папке больше ничего не осталось?

C:\Users\direktor\Documents\[tools]

 

Изменено пользователем safety
Bek777

Bek777

Опубликовано
  • Автор
Опубликовано (изменено)
33 минуты назад, safety сказал:

Обнаружений много, в том числе и среди инструментов злоузмышленников, например Mimikatz, но детект Ransom не виден. Возможно это это был Proton. и возможно что сэмпл сэмпл был заражен вирусом, судя по детектам:

Win32.DarkKomet.hqxy

Имеет смысл проверить/пролечить полностью системный диск с загрузочного диска KRD,

 

В этой папке больше ничего не осталось?

C:\Users\direktor\Documents\[tools]

 

Что-то есть. Пароль к архиву тот же.

 

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

В архиве вспомогательные инструменты для подбора паролей и продвижения по локальной сети.

 

Поищите на системном диске файлы с именем Stub.exe, Stub64.exe

 

Возможно что в этой папке должны быть

C:\Users\direktor\Documents\

Изменено пользователем safety
Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
25 минут назад, safety сказал:

В архиве вспомогательные инструменты для подбора паролей и продвижения по локальной сети.

 

Поищите на системном диске файлы с именем Stub.exe, Stub64.exe

 

Возможно что в этой папке должны быть

C:\Users\direktor\Documents\

При первом поиске было два обнаружения, при повторном не обнаружились. Может ли быть, что касперски их удалил?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • grobique
      Вирус-вымогатель Grok
      Автор grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
×
×
  • Создать...