Шифровщик. Файлы. Формат *.damage.

[Alekskey]

Приветствую!

 

Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage 

Очень много фажных документов. Утилиты с сайта не помогли. 

Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта.

CollectionLog-2017.02.21-17.52.zip

[thyrex]

Образцы шифрованных файлов (лучше файлы doc или docx) выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Alekskey]

Спасибо за оперативность.

 

Вот ссылка на файлы формата doc и docx

https://yadi.sk/d/HV46sE8o3EM3Dw

https://yadi.sk/d/f7fz6P-F3EM38t

 

Отчёты прикреплены к сообщению.

FRST.zip

Изменено 21 февраля, 2017 пользователем Alekskey

[thyrex]

Сколько компьютеров по сети имеют доступ к данному?

[Alekskey]

Он используется, как сервер в Клубе. 

Порядка 15 машин в локальной сети. 5 удалённо.

[thyrex]

Скорее всего машина пострадала по сети. Потому как здесь нет намека на сообщение вымогателей, а потому трудно соотнести с каким-то семейством. В конце файлов что-то похожее на ключ, причем визуально одинаковый. Нужно тело вируса пробовать искать

[Alekskey]

Пардон, я не приложил сообщение которое появилось в папках. 

Файл во вложении. 

 

damage@india.comTPSRV010.txt

[thyrex]

К сожалению, пока не помогло и это идентификации. Отправил вопрос иностранным вирусоборцам

 

Вопросы:

1. Вы из Санкт-Петербурга или это оттуда был вход?

Error: (02/21/2017 06:20:43 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

 

Error: (02/21/2017 05:48:17 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

2. Учетная запись C:\Users\Администратор.TPSRV010 Вам известна?

[Alekskey]

Да, из Питера. IP 188.134.70.228  это нормальный адрес. Адрес центрального сервера.

Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.

[thyrex]

Администратор (S-1-5-21-4290617266-3126799162-502184550-500 - Administrator - Enabled) => C:\Users\Администратор.TPSRV010.000

 

Ну значит из нее и работали. Попробуйте сделать логи из под этой учетки. В том числе и лог FRST.txt 

[Alekskey]

К сожалению, под этой учётной записью не получается зайти. После входа сразу выбрасывает на окно авторизации. 

[thyrex]

Скачайте https://t.co/m2SQQZ84Xpи запустите от имени Администратора по правой кнорке мыши.

Выберите путь для сканирования C:\Users\Администратор.TPSRV010.000

В окне Option отметьте все доступные элементы, в oкне FileType выберите HTML

Нажмите Make List, заархивируйте полученный файл, выложите на Яндекс диск и пришлите ссылку

[Alekskey]

Вот ссылка. Просканировал 3 папки с именем Администратор. 

 

https://yadi.sk/d/NH7IPk-S3EMbiC

[thyrex]

Теперь просканируйте C:\Users\Администратор.TPSRV010\AppData

 

Visual Studio 2010 устанавливали когда-нибудь на этом компьютере?

[Alekskey]

Вот ссылка https://yadi.sk/d/w2rvP39H3EMq4K

Да, Visual Studio 2010 установлена аж в 2014 году.