Перейти к содержанию

Шифровальщик vpupkin3@aol.com

kva71
 Поделиться

Рекомендуемые сообщения

kva71

kva71

Опубликовано
Опубликовано

Сегодня ночью некий Вася Пупкин пробился через rdp на компьютер, остановил Касперского и запустил кодировщик. В результате все файлы приобрели следующий вид:

email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@24B7-B5FF.randomname-UVWXXYZABBBCDEFFGGHIJKKKLMNOPP.QQR.stt

  Часть имени, которая идет после randomname у всех файлов разная.

Результат работы AutoLogger прилагаю.

  Под эту версию васи пупкина дешифратор есть?

CollectionLog-2016.11.07-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Ну вот и все. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Когда через RDP злоумышленник заходит на сервер он что первым делом делает, правильно удаляет или выгружает антивирус на компьютере, чтобы не мешал работать шифровальщику.

Ссылка на комментарий
Поделиться на другие сайты
kva71

kva71

Опубликовано
  • Автор
Опубликовано

Да, все верно, злодей останавливает антивирус. Я не так спросил. Почему этот злодей пробился через антивирус?

В протоколе работы сетевые атаки зафиксированы, и как раз перед взломом!

Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию?

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

 

Почему этот злодей пробился через антивирус?

А как он помешает злоумышленнику, если его прога для брута пароля к RDP будет работать через прокси? :)

 

 

 

Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию?

Не в настройках антивируса дело, а в самих настройках сервера. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Шифровальщик @gotchadec
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...