Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик !_____GEKSOGEN911@GMAIL.COM____.c300

Sergey Shuptarskiy
 Поделиться

Рекомендуемые сообщения

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
Опубликовано

Добрый день!

 

Помогите определить и расшифровать. все файлы имеют расширение !_____GEKSOGEN911@GMAIL.COM____.c300 

 

Новая папка.rar

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Зараженных компьютеров несколько. Поразило по сетке все расшаренные для доступа папки, остальные не тронуто. Специализация в основном на базы данных, поражены базы программ 1С, R-Keeper, Sbis.

 

Взял для начала один из компьютеров, по моей версии источник распространения, скорее всего открыто письмо из почты. На нем был установлен KIS2016, сетевой экран был выключен.

 

1. Произвел проверку им полную, ничего не обнаружено.

2. Скачал и провел полную проверку Cureit, ничего не обнаружено.

3. Провел запуск автоматического сборщика логов согласно инструкции.

Файл с отчетами прилагаю.

 

Единственно производил все процедуры удаленно путем подключения через Teamviewer.

 

Почему-то несколько пораженных файлов с базами данных нашел в корзине. На двух компьютерах в корзине находились.

 

Жду дальнейших инструкций.

 

CollectionLog-2016.11.09-21.56.zip

mike 1

mike 1

Опубликовано
Опубликовано

 

Взял для начала один из компьютеров, по моей версии источник распространения, скорее всего открыто письмо из почты. На нем был установлен KIS2016, сетевой экран был выключен.

Заражение произошло не через электронную почту, причем я в этом уверен. 

 

 

 

Зараженных компьютеров несколько. Поразило по сетке все расшаренные для доступа папки, остальные не тронуто. Специализация в основном на базы данных, поражены базы 

Ищите в локальной сети такой компьютер, на котором открыт RDP и расшарены папки. С него собственно и нужны логи.  

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано

 

Заражение произошло не через электронную почту, причем я в этом уверен. 

 

Ищите в локальной сети такой компьютер, на котором открыт RDP и расшарены папки. С него собственно и нужны логи.  

 

 

А какие иные источники заражения у таких вирусов? Сервер поражен, к нему подключались по RDP и на нем лежат базы от 1С в расшаренных папках. Но сервер стоял отдельно, в него не втыкали флешки, у него нет выхода в интернет. На сервере поражены только расшареные папки, из чего я сделал вывод что зараза пришла откуда-то по сети из рабочего компьютера пользователя?

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано (изменено)

Проверил сервер утилитой Kaspersky Virus Removal Tool, он обнаружил вирус Trojan.win32.cosmu.dljx в одной из учетных записей на рабочем столе и с папке 1с в AppData\Local в этой же учетке. Что с ними делать? Удалять? Файлы с вирусам завернул в архив, прикрепляю.

 

Так а вот CureIt определил его как Trojan.Encoder.5342 значит все таки шифровальщик это - приложил этот файл - RSzENyXs.rar

 

сидит в 3 местах : device\harddiskvolume2\users\ac2\appdata\local\rszenysx.exe

                                 C:\users\ac2\appdata\local\rszenysx.exe

                                 C:\users\ac2\desktop\87675384.exe

 

Итак на данный момент во всей локальной сети признаки шифрации имеют только 2 компьютера. 1 компьютер - ресепшен и 2 компьютер сервер.

 

На 1 компьютере поражены файлы на локальном диске D, там была программа Rkeeper, у нее поражены все базы данных. И выборочно файлы на диске с расширениями bmp, xml,log,txt,png,db,net,mb,px. На рабочем столе и на диске С признаков поражения нет. Проверка Kaspersky Virus Removal Tool и CureIT ничего на находит. Логи от сборщика по этой машине приложены выше. 

 

На сервере поражена по предварительной оценке только расшаренная папка в которой были базы 1с и сбис, там поражение масштабное, все файлы в разных форматах зашифрованы. Базы данных которые лежат на сервере но не в расшаренной папке не поражены.

 

 

В прошлом письме ошибся - сервер имел доступ к интернет. 

 

Прилагаю логи с сервера от автоматической проверки AVZ

post-42070-0-35565000-1478762917_thumb.jpg

CollectionLog-2016.11.10-13.22.zip

Изменено пользователем mike 1
Карантин в теме
Hex

Hex

Опубликовано
Опубликовано

Вчера столкнулся с этими файлами. Тоже на сервере нашёл Trojan.Encoder.5342. Есть возможность их расшифровать?

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано

 

 

 

 

 

 

Все логи приложил, что делать дальше?

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525, хотя шансов мало 

 

Ну мы в основном восстановились, почему-то он выборочно поразил. Можно больше узнать о технологии распространения это шифровальщика и что делать после. Я установил на сервер KAV Small Office, он удалил зараженные файлы. Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного? Пока за эти дни видимых следов активности нет, базы 1С восстановленные и сидящей в той же папке с зашифрованными пока работают нормально. 

Также хотелось бы узнать версию возможного попадания этого вируса, как происходит заражение, такое ощущение что он узконаправлен на поиск баз данных и когда находит шифрует все остальные файлы вокруг? Т.к. на других машинах следов шифрования нет, вируса нет, но при чистке реестра Ccleaner-ом он где-то выдает ссылку на какие-то расширения .c300 среди ошибок реестра. Возможно машины не поражены только из-за того что баз не было? 

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Можно больше узнать о технологии распространения это шифровальщика и что делать после.

Злоумышленник подбирает пароль к RDP и учетной записи, а далее отключает антивирус (если такой имеется) и вручную запускает шифровальщика. 

 

 

 

Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного?

Ну к вам удаленно зашли. Рекомендации по настройке сервера можно найти здесь  https://1cloud.ru/help/windows/windowssecurity 

 

 

 

Возможно машины не поражены только из-за того что баз не было? 

Нет. Скорее всего подобрали пароль к ограниченной учетной записи и просто тупо прав не хватило, чтобы все зашифровать. 

Sergey Shuptarskiy

Sergey Shuptarskiy

Опубликовано
  • Автор
Опубликовано

 

Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного?

Ну к вам удаленно зашли. Рекомендации по настройке сервера можно найти здесь  https://1cloud.ru/help/windows/windowssecurity 

 

 

К сожалению ссылка не рабочая. 

При переписке они просили выслать им IP чтобы после оплаты прислать расшифровщик. Для чего им может понадобиться IP? 

mike 1

mike 1

Опубликовано
Опубликовано

https://1cloud.ru/help/windows/windowssecurity

 

 

 

При переписке они просили выслать им IP чтобы после оплаты прислать расшифровщик. Для чего им может понадобиться IP? 

Думаю для того, чтобы выставить вам окончательную цену за дешифратор. 

  • 3 месяца спустя...
егор555555555555555

егор555555555555555

Опубликовано
Опубликовано

Скажите у Вас получилось дешефровать файлы, а то у меня аналогичная ситуация? Егор 31071953@mail.ru

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...