Шифровальщик [payfordecrypt1@qq.com].arena

[cyber-jet]

Зашифрованы данные "обменника" в офисе. Образец файла в архиве. Анализ ситуации показал, что был произведен вход по RDP от имени одного из пользователей, далее распространение пошло по открытым для данного пользователя сетевым ресурсам. Имя этого пользователя отражено в поле "Владелец" всех зашифрованных файлов. Пользователь уже подтвердил, что чисто физически он не мог этого сделать. Следовательно подобрали учетные данные.

В последствии сервер был проверен с загрузочного USB Касперского. Вирусов не обнаружено.

Во вложении данные проверки от пользователя с правами "Администратор", и во втором архиве файлы, появившиеся на рабочем столе вышеупомянутого пользователя. Прошу обратить внимание на "Mouse Lock_v22", судя по дате файл появился задолго до заражения, 14.08.17, имя владельца не указано, и странность в том, что сам пользователь собственноручно никогда не подключался к данному хосту по RDP.

CollectionLog-2017.11.10-00.40.zip

files.zip

[Sandor]

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

[cyber-jet]

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

 

Рабочая машина пользователя чиста, проверяли правда MS Security Essentials, и сотрудник даже не подозревает что к этому хосту можно подключится удаленно, это тем более исключает заход из дома, так как миниму нужно знать внешний IP и нужный порт нашего шлюза.

 

Заражение произошло 6-го, выходной день, сотрудника даже не было в городе, компьютер выключен.

 

Есть какие нибудь легальные способы расшифровки? Может быть какие-то компании предоставляют платные услуги в этой области?

 

PS: Есть информация, по поводу того, каковы примерные статистические средние сроки появления декриптора?

Изменено 10 ноября, 2017 пользователем cyber-jet

[Sandor]

был произведен вход по RDP

Пароль смените.

 

Есть какие нибудь легальные способы расшифровки?

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

какие-то компании предоставляют платные услуги в этой области?

Как правило, тоже злодеи, но посредники. Связываются с первыми и расшифровывают за бОльшую цену.

 

каковы примерные статистические средние сроки появления декриптора?

Ответа нет, т.к. зависит от многих факторов: злодеи могут выложить ключи сами, злодеев могут поймать и опубликуют ключи и т.д.

 

Ознакомьтесь со статьей.

 

Следите на сайте https://www.nomoreransom.org/ru/index.html

[cyber-jet]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Я правильно понимаю, из прочитанного по ссылке, что специально подбором ключа расшифровки специально для нас ни кто заниматься не будет, а будут проверены, уже имеющиеся средства, также доступные на сайте nomoreransom.org? Или есть какие-то собственные методы?

[Sandor]

Как там это будет происходить, нам не известно. Мы - не сотрудники ЛК и связей с ними почти не имеем.