Перейти к содержанию

Заражение crypted000007 на двух серверах.

KJIayD

Автор KJIayD
в Беседка

 Поделиться

Рекомендуемые сообщения

KJIayD

KJIayD

Опубликовано
Опубликовано

Доброго времени суток. 

 

No заказа/лицензии:

**********************

 

В одной из фирм на обслуживание произошла следующая ситуация: 

Секретарь словил через почту данный вирус. Заражение его компьютера не интересно, вирус зашифровал небольшую часть данных на общих дисках на двух серверах, благо вовремя спохватились, бэки в 95% случаев есть.  

Вопросы:

Исполняемый файл вируса остался только на компе секретаря?

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день? (Рис. 2 во вложении)

Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки? Не могу выложить в открытый доступ, но могу выслать на почту. 

 

 

Скан Kaspersky Virus Removal Tool произвел - Рис. 1.

Результаты работы FRST - arch.zip.

автоматического сборщика логов - report1.log, report2.log, CollectionLog-2017.09.05-23.39.zip.

 

Всё манипуляции производились на клоне зараженной виртуальной машине, боевой сервер восстановлен из бэков, но небольшие потери файлов есть. 

Всего было заражено 382 из несколько десятков тыс. На втором сервере ситуация хуже, подобную информацию отправлю завтра после сбора. 

Готов выполнить дополнительные тесты, сбор логов и т.д., по запросу.

CollectionLog-2017.09.05-23.39.zip

post-47193-0-80689700-1504646677_thumb.png

post-47193-0-50903700-1504646687_thumb.png

report1.log

report2.log

arch.zip

thyrex

thyrex

Опубликовано
Опубликовано

К сведению

Т.к. в лечении нет необходимости, тема перенесена в Беседку

 

 

 


Исполняемый файл вируса остался только на компе секретаря?
По сети передача исполняемого файла не происходит.

 

 

 


Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

 

 

 


Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки?
Невозможно.
KJIayD

KJIayD

Опубликовано
  • Автор
Опубликовано

 

 

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

Что это значит? Что исполняемый файл вируса запустился на сервере на второй день? Компьютер после заражения был выключен и не включался. 

Вы смотрели логи? 

thyrex

thyrex

Опубликовано
Опубликовано

 

 


Вы смотрели логи? 
Конечно. В них ничего интересного по нашей части.

 

 

 


Компьютер после заражения был выключен и не включался. 
Значит источником шифрования был иной компьютер.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Frazer
      Зашифровались файлы (.CRYPTED000007) Прошу помочь в расшифровке!
      Автор Frazer
      После открытия файла, пришедшего по почте зашифровались файлы (расширение поменялось на .CRYPTED000007) и сообщение на экране: Baшu фaйлы былu зaшuфpoваны. Далее в файле Readme.txt :Чmобы pacшифpoваmь их, Bам необхoдuмо отпрaвuть кoд: 7357023A1046244760BC|0 на элекmронный адpeс pilotpilot088@gmail.com
      CollectionLog-2018.12.27-15.25.zip
    • Алексей Ананьев
      Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod
      Автор Алексей Ананьев
      Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.
      Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.
      Как произвести дешифровку файлов?
      Спасибо.
      CollectionLog-2018.12.15-18.25.zip


      README1.txt
    • asushnik
      Зашифровались файлы
      Автор asushnik
      День добрый! На компьютере был установлен платный антивирус Касперский Ендпоинт Секьюрити, но однако это не спасло от заражения. Шифровальщик просит отправить код на почту pilotpilot088@gmail.com, если возможно помогите расшифровать. Утилита adwcleaner показала что вирус pup.adware.heuristic с запланированной задачей и ключем в реестре
    • Pogodi
      Расшифровка trojan.win32.generic
      Автор Pogodi
      Здравствуйте!
      Есть ли уже готовый продукт для моей проблемы:
       
      Вaшu файлы были зaшuфpoваны. Чmобы рacшифpоваmь uх, Вам нeобxодимо omпрaвuть код: A297E1C9B9CC9799DEFA|0 нa элекmpoнный адpеc pilotpilot088@gmail.com . Дaлee вы noлyчume вcе нeoбходимые инсmpykцuu. Попыmkи pacшuфрoваmь сaмocтoятельнo не nриведym ни k чeмy, kромe бeзвозвpamнoй nоmеpu uнфopмaцuu. Eслu вы всё жe хoтuтe nоnыmаmьcя, mo предвaриmeльнo cделaйтe peзeрвныe konиu фaйлoв, uнaчe в слyчaе иx uзменeнuя рaсшuфровка cmанeт нeвозмoжной ни nри kакux ycловuях. Ecли вы не noлучuлu оmвеmа по вышeyказaнномy адрeсy в течение 48 чacoв (и moльko в эmoм слyчae!), воспользуйmeсь формoй обрamной связи. Этo мoжнo cделamь двумя сnосoбамu: 1) Cкaчaйтe u ycтановume Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en B адpeсной cmрокe Tor Browser-a ввeдите aдрec: http://cryptsen7fo43rr6.onion/ u нaжмитe Enter. 3aгpузиmcя стpанuца с фopмой обратной cвязu. 2) B любом браyзeре nеpeйдиmе по oдномy uз адрecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A297E1C9B9CC9799DEFA|0 to e-mail address pilotpilot088@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2018.12.13-21.32.zip
    • dozy82@mail.ru
      Шифровальщик pilotpilot088@gmail.com
      Автор dozy82@mail.ru
      Файлы компьютера были зашифрованы. На рабочем столе появилось 9 фалов README со следующим содержанием:
      Bашu файлы былu зaшuфровaны.
      Чmобы расшuфрoвaть uх, Вам необходuмо отправиmь код:
      27A81BD6C0E73F5180A5|0
      на элеkтpoнный aдpeс pilotpilot088@gmail.com .
      Далее вы nолyчumе вcе нeобхoдимыe инcmрукцuи.
      Пoпыmкu рaсшuфрoвать cамocmoяmельнo нe nрuвeдут ни k чeму, kрoме бeзвoзврamнoй поmерu инфоpмaциu.
      Еслu вы всё же хomитe nопытaтьcя, тo nредвaрuтeльно сдeлайтe peзервные kопии фaйлов, инaчe в cлyчae
      ux uзменения рacшифрoвкa сmaнеm нeвoзможной нu npи kaких условuях.
      Ecлu вы не получuлu omвеma по вышеуkaзaнномy адpеcy в meчениe 48 чacoв (и тoльko в эmом случае!),
      воcпoльзуйmecь фopмoй обpаmнoй cвязи. Эmо можно сделать двyмя сnoсобамu:
      1) Скaчайте u yсmaновuтe Tor Browser no ccылke: https://www.torproject.org/download/...d-easy.html.en
      В aдpecной стpокe Tor Browser-a ввeдume адpeс:
      http://cryptsen7fo43rr6.onion/
      и нaжмuте Enter. 3arpузитcя cmрaница c фopмoй oбpamнoй связu.
      2) B любом браyзерe перейдumе no oдномy из адрecoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/




      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      27A81BD6C0E73F5180A5|0
      to e-mail address pilotpilot088@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproject.org/download/...d-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
      CollectionLog-2018.12.09-20.16.zip
×
×
  • Создать...