averscrimea 0 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 Всем доброго времени суток! Прошу помощи: Система Win Server 2008 сегодня утром были зашифрованы все файлы. Присвоено расширение ,LEGO. В каждой папке созданы html файлик с названием how_to_back_files. Помимо стандартного текста про биткоины указаны почта legosfilos@aol.com Всем заранее спасибо за ответы и помощь образцы html письма и зашифрованных файлов в архиве CollectionLog-2017.08.01-20.11.zip how_to_back_files.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 GlobeImposter2. C расшифровкой помочь не сможем Ссылка на сообщение Поделиться на другие сайты
averscrimea 0 Опубликовано 1 августа, 2017 Автор Share Опубликовано 1 августа, 2017 (изменено) GlobeImposter2. C расшифровкой помочь не сможем Я так понимаю по GlobeImposter2 вообще никак? какие нибудь предложения можете подсказать? Или как говорится тушите свет! Изменено 1 августа, 2017 пользователем averscrimea Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 Увы Ссылка на сообщение Поделиться на другие сайты
averscrimea 0 Опубликовано 1 августа, 2017 Автор Share Опубликовано 1 августа, 2017 Увы китайцы пишут https://tieba.baidu.com/p/4972715711 что вроде чтото дешифруют по указанным адресам но разобрать китайский в переводчике проблема наверно сложнее чем дешифровать как попал в систему можно в логах увидеть? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 Смотрите логи сервера. Скорее всего несанкционированный вход по RDP, если утром все уже было зашифровано Ссылка на сообщение Поделиться на другие сайты
averscrimea 0 Опубликовано 1 августа, 2017 Автор Share Опубликовано 1 августа, 2017 Смотрите логи сервера. Скорее всего несанкционированный вход по RDP, если утром все уже было зашифровано шифрование по данным измененным файлов началось около 5 утра, Никто из пользователей явно в 5 утра не заходил Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 Я же написал - НЕСАНКЦИОНИРОВАННЫЙ. К чьей-то учетке подобрали пароль, возможно создали нового пользователя и зашли в удобное время. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти