Перейти к содержанию

Заражение crypted000007 на двух серверах.

KJIayD

От KJIayD
в Беседка

 Share

Рекомендуемые сообщения

KJIayD Новичок

KJIayD

Опубликовано
Опубликовано

Доброго времени суток. 

 

No заказа/лицензии:

**********************

 

В одной из фирм на обслуживание произошла следующая ситуация: 

Секретарь словил через почту данный вирус. Заражение его компьютера не интересно, вирус зашифровал небольшую часть данных на общих дисках на двух серверах, благо вовремя спохватились, бэки в 95% случаев есть.  

Вопросы:

Исполняемый файл вируса остался только на компе секретаря?

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день? (Рис. 2 во вложении)

Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки? Не могу выложить в открытый доступ, но могу выслать на почту. 

 

 

Скан Kaspersky Virus Removal Tool произвел - Рис. 1.

Результаты работы FRST - arch.zip.

автоматического сборщика логов - report1.log, report2.log, CollectionLog-2017.09.05-23.39.zip.

 

Всё манипуляции производились на клоне зараженной виртуальной машине, боевой сервер восстановлен из бэков, но небольшие потери файлов есть. 

Всего было заражено 382 из несколько десятков тыс. На втором сервере ситуация хуже, подобную информацию отправлю завтра после сбора. 

Готов выполнить дополнительные тесты, сбор логов и т.д., по запросу.

CollectionLog-2017.09.05-23.39.zip

post-47193-0-80689700-1504646677_thumb.png

post-47193-0-50903700-1504646687_thumb.png

report1.log

report2.log

arch.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

К сведению

Т.к. в лечении нет необходимости, тема перенесена в Беседку

 

 

 


Исполняемый файл вируса остался только на компе секретаря?
По сети передача исполняемого файла не происходит.

 

 

 


Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

 

 

 


Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки?
Невозможно.
Ссылка на комментарий
Поделиться на другие сайты
KJIayD Новичок

KJIayD

Опубликовано
  • Автор
Опубликовано

 

 

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

Что это значит? Что исполняемый файл вируса запустился на сервере на второй день? Компьютер после заражения был выключен и не включался. 

Вы смотрели логи? 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Вы смотрели логи? 
Конечно. В них ничего интересного по нашей части.

 

 

 


Компьютер после заражения был выключен и не включался. 
Значит источником шифрования был иной компьютер.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • luzifi
      шифровальщик инок на сервере
      От luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • Valeriy_Chirchik
      Зашифровали файлы на сервере *.red
      От Valeriy_Chirchik
      В понедельник, 17.02.2025, все файлы на сервере зашифрованы.
      Прилагаю файлы сканирования и требование оплаты дешифрования...
      Очень надеюсь на Вашу помощь!!!
      Спасибо!!!Virus.rarFRST.txtAddition.txt
    • Андрей.а.а
      Виртуальный сервер активация клиентов.
      От Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Kedri
      [РЕШЕНО] Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen
      От Kedri
      Добрый день.
       
      Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).
      CollectionLog-2025.01.21-12.48.zip
×
×
  • Создать...