Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик [payfordecrypt1@qq.com].arena

cyber-jet
 Поделиться

Рекомендуемые сообщения

cyber-jet

cyber-jet

Опубликовано
Опубликовано

Зашифрованы данные "обменника" в офисе. Образец файла в архиве. Анализ ситуации показал, что был произведен вход по RDP от имени одного из пользователей, далее распространение пошло по открытым для данного пользователя сетевым ресурсам. Имя этого пользователя отражено в поле "Владелец" всех зашифрованных файлов. Пользователь уже подтвердил, что чисто физически он не мог этого сделать. Следовательно подобрали учетные данные.

В последствии сервер был проверен с загрузочного USB Касперского. Вирусов не обнаружено.

Во вложении данные проверки от пользователя с правами "Администратор", и во втором архиве файлы, появившиеся на рабочем столе вышеупомянутого пользователя. Прошу обратить внимание на "Mouse Lock_v22", судя по дате файл появился задолго до заражения, 14.08.17, имя владельца не указано, и странность в том, что сам пользователь собственноручно никогда не подключался к данному хосту по RDP.

CollectionLog-2017.11.10-00.40.zip

files.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

cyber-jet

cyber-jet

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

 

Рабочая машина пользователя чиста, проверяли правда MS Security Essentials, и сотрудник даже не подозревает что к этому хосту можно подключится удаленно, это тем более исключает заход из дома, так как миниму нужно знать внешний IP и нужный порт нашего шлюза.

 

Заражение произошло 6-го, выходной день, сотрудника даже не было в городе, компьютер выключен.

 

Есть какие нибудь легальные способы расшифровки? Может быть какие-то компании предоставляют платные услуги в этой области?

 

PS: Есть информация, по поводу того, каковы примерные статистические средние сроки появления декриптора?

Изменено пользователем cyber-jet
Sandor

Sandor

Опубликовано
Опубликовано

был произведен вход по RDP

Пароль смените.

 

Есть какие нибудь легальные способы расшифровки?

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

какие-то компании предоставляют платные услуги в этой области?

Как правило, тоже злодеи, но посредники. Связываются с первыми и расшифровывают за бОльшую цену.

 

каковы примерные статистические средние сроки появления декриптора?

Ответа нет, т.к. зависит от многих факторов: злодеи могут выложить ключи сами, злодеев могут поймать и опубликуют ключи и т.д.

 

Ознакомьтесь со статьей.

 

Следите на сайте https://www.nomoreransom.org/ru/index.html

cyber-jet

cyber-jet

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Я правильно понимаю, из прочитанного по ссылке, что специально подбором ключа расшифровки специально для нас ни кто заниматься не будет, а будут проверены, уже имеющиеся средства, также доступные на сайте nomoreransom.org? Или есть какие-то собственные методы?

Sandor

Sandor

Опубликовано
Опубликовано

Как там это будет происходить, нам не известно. Мы - не сотрудники ЛК и связей с ними почти не имеем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Зашифрованы файлы -1A4B014A.{suri_namika@india.com}.xtbl
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Файлы зашифрованы Vegclass@aol.com.xtbl
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Шифровальщик, расширение файлов XTBL
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...