Зашифровались файлы _______PIFAGORMAIL@tutanota.com______

[alexklub]

Здравствуйте, произошло шифрование файлов на сетевых дисках, стало название файла поменялось с окончанием _______PIFAGORMAIL@tutanota.com______, файл с логами прикладываю, подскажите что можно сделать?

CollectionLog-2017.09.01-10.13.zip

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

[alexklub]

логи с консоли

CollectionLog-2017.09.01-12.11.zip

[Sandor]

произошло шифрование файлов на сетевых дисках

Постарайтесь определить с какого ПК сети это произошло. По-хорошему, логи нужны с того компьютера.

 

Записка с требованием выкупа есть? Если да, ее и пару зашифрованных документов упакуйте и прикрепите к следующему сообщению.

[alexklub]

зашифровались файлы на нескольких компьютерах, эти файлы в папках с общим доступом, требований не видно, и вирусов как бы не видно, может кто то из вне зашифровал, только третий день на работе, прошлые сисадмины в контакт не идут ни в какую... файлы прикреплю, но их  тысячи

1Cv7.DD!_______PIFAGORMAIL@tutanota.com______.rar

03-14.xls!_______PIFAGORMAIL@tutanota.com______.rar

345.jpg!_______PIFAGORMAIL@tutanota.com______.rar

34534.txt!_______PIFAGORMAIL@tutanota.com______.rar

95454.jpg!_______PIFAGORMAIL@tutanota.com______.rar

121212.1.jpg!_______PIFAGORMAIL@tutanota.com______.rar

121212.2.jpg!_______PIFAGORMAIL@tutanota.com______.rar

[Sandor]

Архивы повреждены. Упакуйте с паролем, задайте имя архива короткое и прикрепите еще раз.

[alexklub]

это уже получились архивы, до этого это были просто файлы, к примеру в этих если убрать все знаки начиная с ! в названиях, то так назывались оригинальные файлы

AdminGuide.pdf!_______PIFAGORMAIL@tutanota.com______.rar

EsPackageGuide.pdf!_______PIFAGORMAIL@tutanota.com______.rar

instructions lissi.pdf!_______PIFAGORMAIL@tutanota.com______.rar

[Sandor]

задайте имя архива короткое

Это почему не сделали?

[alexklub]

переименовать архив? повторюсь что я сам ни чего не архивировал, эти файлы архивные уже были сегодня утром в сети, а раньше были просто файлы (не архивные), высылаю с короткими названиями, просто переименовал, убрал с конца названия   !_______PIFAGORMAIL@tutanota.com______

 

вот пример оригинальных файлов в архиве "Вирус" и уже зашифрованных архивных

вот пример оригинальных в архиве "вирус" и уже зашифрованных 

1Cv7.CFG.rar

AdminGuide.pdf.rar

EsPackageGuide.pdf.rar

instructions lissi.pdf.rar

ESNAVP01.mxl!_______PIFAGORMAIL@tutanota.com______.rar

ESNAVP03.mxl!_______PIFAGORMAIL@tutanota.com______.rar

Вирус.rar

ESNAVP01.mxl!_______PIFAGORMAIL@tutanota.com______.rar

ESNAVP03.mxl!_______PIFAGORMAIL@tutanota.com______.rar

Вирус.rar

[Sandor]

Понятно.

Увы, это RotorCrypt, с расшифровкой помочь не сможем.

 

Постарайтесь все-таки выяснить с какого компьютера пошло шифрование и соберите на нем CollectionLog.

[alexklub]

Подскажите, а если бы стоял на всех компьютерах и серверах нашей компании Ваш антивирус, то этот RotorCrypt проскочил бы или 100 процентов нет? и с чем он обычно проходит в локальную сеть?

[Sandor]

При такой настройке, а также при соблюдении обычных правил, как то работа без прав админа, не щелкать подозрительные вложения в почте и т.п. - не проскочил бы.

Изменено 1 сентября, 2017 пользователем Sandor

[alexklub]

Спасибо за помощь, закажем корпоративную лицензию, будем приводить в вид антивирусную защиту