Перейти к содержанию

Заражение crypted000007 на двух серверах.

KJIayD

Автор KJIayD
в Беседка

 Поделиться

Рекомендуемые сообщения

KJIayD

KJIayD

Опубликовано
Опубликовано

Доброго времени суток. 

 

No заказа/лицензии:

**********************

 

В одной из фирм на обслуживание произошла следующая ситуация: 

Секретарь словил через почту данный вирус. Заражение его компьютера не интересно, вирус зашифровал небольшую часть данных на общих дисках на двух серверах, благо вовремя спохватились, бэки в 95% случаев есть.  

Вопросы:

Исполняемый файл вируса остался только на компе секретаря?

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день? (Рис. 2 во вложении)

Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки? Не могу выложить в открытый доступ, но могу выслать на почту. 

 

 

Скан Kaspersky Virus Removal Tool произвел - Рис. 1.

Результаты работы FRST - arch.zip.

автоматического сборщика логов - report1.log, report2.log, CollectionLog-2017.09.05-23.39.zip.

 

Всё манипуляции производились на клоне зараженной виртуальной машине, боевой сервер восстановлен из бэков, но небольшие потери файлов есть. 

Всего было заражено 382 из несколько десятков тыс. На втором сервере ситуация хуже, подобную информацию отправлю завтра после сбора. 

Готов выполнить дополнительные тесты, сбор логов и т.д., по запросу.

CollectionLog-2017.09.05-23.39.zip

post-47193-0-80689700-1504646677_thumb.png

post-47193-0-50903700-1504646687_thumb.png

report1.log

report2.log

arch.zip

thyrex

thyrex

Опубликовано
Опубликовано

К сведению

Т.к. в лечении нет необходимости, тема перенесена в Беседку

 

 

 


Исполняемый файл вируса остался только на компе секретаря?
По сети передача исполняемого файла не происходит.

 

 

 


Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

 

 

 


Можно ли по паре зараженный файл и оригинал подобрать ключ для расшифровки?
Невозможно.
KJIayD

KJIayD

Опубликовано
  • Автор
Опубликовано

 

 

Если да то почему на сервере есть зараженные файлы в системных папках и они датой на следующий день?
Значит до сервера вирус добрался только на второй день, Возможно даже, что после перезагрузки компьютера-источника.

Что это значит? Что исполняемый файл вируса запустился на сервере на второй день? Компьютер после заражения был выключен и не включался. 

Вы смотрели логи? 

thyrex

thyrex

Опубликовано
Опубликовано

 

 


Вы смотрели логи? 
Конечно. В них ничего интересного по нашей части.

 

 

 


Компьютер после заражения был выключен и не включался. 
Значит источником шифрования был иной компьютер.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алекcей_19-08
      Вирус шифровальщик (crypted000007)
      Автор Алекcей_19-08
      Здравствуйте.
      Рабочий компьютер, стоял Касперский 6.0.
      Письмо от "Судебных приставов" и все файлы с расширением crypted000007.
      Очень много документов. Процесс шифрования занял примерно 2-3 часа.
      Просим помочь

      Прикладую файлы

      Из предыдущих тем выполнил рекомендации по  Farbar Recovery Scan Tool.
      Прикладую отчет
      CollectionLog-2018.08.19-19.18.zip
      Шифрован.rar
      Farbar Recovery Scan Tool.rar
    • dimox85
      Вирус Trojan.Encoder.858 зашифровал ПК
      Автор dimox85
      Добрый день! Шифровальщик проник по ссылке из электронной почты. В фоновом режиме все зашифровал. Надпись о том, что Baм нeобxодuмо omправить koд:
      34EAC3C1AAB880BAE5E9|869|7|10 на элекmрoнный aдрeс pilotpilot088@gmail.com . CollectionLog-2018.08.14-13.42.zip
    • Владимир1976
      crypted000007
      Автор Владимир1976
      Здравствуйте. Можете помочь с расшифровкой фаилов с таким расширением (
      crypted000007)
    • Combi77
      Вирус шифровальщик "crypted000007"
      Автор Combi77
      Открыли письмо якобы от судебных приставов. Заметили что компьютер стал сильно тормозить. Обнаружили что много файлов поменяло название на нечто непонятное с расширением "crypted000007". Компьютер был выключен, Жесткий диск снят и перенесен на другой не зараженный компьютер. На зараженном диске в папке
      "C:\Documents and Settings\All Users\Application Data\Windows" был найден файл "csrss.exe"
      который сейчас определяется КИС2017 как "Trojan.Win32.Yakes.wwyb".
       
      Под стандартный "порядок оформления запроса о помощи", моя ситуация не подходит. У меня есть нетронутый жесткий диск с зараженного компьютера. Что полезного для расшифровки файлов оттуда можно вытащить ? Есть текстовые файлы с требованием выкупа, есть оригинал вирусного файла, может что-по еще полезное можно оттуда взять ?
      Или надо обратно подключать диск, включать компьютер с вирусом и идти по
      "порядку оформления запроса о помощи" ? Повторюсь, меня реально интересует только вопрос восстановления файлов, с лечением вопросов нет. Может где на диске во временных файлах сохранилась информация о ключах шифрования или еще что полезное для специалистов ?. По этому пока диск не трогаю. Если скажете что всё это бесполезно, плюну на файлы и займусь удаление вируса.
      Заранее спасибо. Виталий.
      README1.txt
    • Insaff
      шифратор .crypted000007
      Автор Insaff
      во всех базах 1с файлы *.dbf изменили свое разрешение на *.crypted000007 а имя на рандомное.
      Нужно дешировать. Спасибо
      CollectionLog-2018.07.26-22.13.zip
×
×
  • Создать...