Перейти к содержанию

Шифровальщик [payfordecrypt1@qq.com].arena

cyber-jet
 Share

Рекомендуемые сообщения

cyber-jet Новичок

cyber-jet

Опубликовано
Опубликовано

Зашифрованы данные "обменника" в офисе. Образец файла в архиве. Анализ ситуации показал, что был произведен вход по RDP от имени одного из пользователей, далее распространение пошло по открытым для данного пользователя сетевым ресурсам. Имя этого пользователя отражено в поле "Владелец" всех зашифрованных файлов. Пользователь уже подтвердил, что чисто физически он не мог этого сделать. Следовательно подобрали учетные данные.

В последствии сервер был проверен с загрузочного USB Касперского. Вирусов не обнаружено.

Во вложении данные проверки от пользователя с правами "Администратор", и во втором архиве файлы, появившиеся на рабочем столе вышеупомянутого пользователя. Прошу обратить внимание на "Mouse Lock_v22", судя по дате файл появился задолго до заражения, 14.08.17, имя владельца не указано, и странность в том, что сам пользователь собственноручно никогда не подключался к данному хосту по RDP.

CollectionLog-2017.11.10-00.40.zip

files.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

Ссылка на комментарий
Поделиться на другие сайты
cyber-jet Новичок

cyber-jet

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

 

Рабочая машина пользователя чиста, проверяли правда MS Security Essentials, и сотрудник даже не подозревает что к этому хосту можно подключится удаленно, это тем более исключает заход из дома, так как миниму нужно знать внешний IP и нужный порт нашего шлюза.

 

Заражение произошло 6-го, выходной день, сотрудника даже не было в городе, компьютер выключен.

 

Есть какие нибудь легальные способы расшифровки? Может быть какие-то компании предоставляют платные услуги в этой области?

 

PS: Есть информация, по поводу того, каковы примерные статистические средние сроки появления декриптора?

Изменено пользователем cyber-jet
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

был произведен вход по RDP

Пароль смените.

 

Есть какие нибудь легальные способы расшифровки?

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

какие-то компании предоставляют платные услуги в этой области?

Как правило, тоже злодеи, но посредники. Связываются с первыми и расшифровывают за бОльшую цену.

 

каковы примерные статистические средние сроки появления декриптора?

Ответа нет, т.к. зависит от многих факторов: злодеи могут выложить ключи сами, злодеев могут поймать и опубликуют ключи и т.д.

 

Ознакомьтесь со статьей.

 

Следите на сайте https://www.nomoreransom.org/ru/index.html

Ссылка на комментарий
Поделиться на другие сайты
cyber-jet Новичок

cyber-jet

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Я правильно понимаю, из прочитанного по ссылке, что специально подбором ключа расшифровки специально для нас ни кто заниматься не будет, а будут проверены, уже имеющиеся средства, также доступные на сайте nomoreransom.org? Или есть какие-то собственные методы?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...