Перейти к содержанию

Шифровальщик [payfordecrypt1@qq.com].arena

cyber-jet
 Поделиться

Рекомендуемые сообщения

cyber-jet

cyber-jet

Опубликовано
Опубликовано

Зашифрованы данные "обменника" в офисе. Образец файла в архиве. Анализ ситуации показал, что был произведен вход по RDP от имени одного из пользователей, далее распространение пошло по открытым для данного пользователя сетевым ресурсам. Имя этого пользователя отражено в поле "Владелец" всех зашифрованных файлов. Пользователь уже подтвердил, что чисто физически он не мог этого сделать. Следовательно подобрали учетные данные.

В последствии сервер был проверен с загрузочного USB Касперского. Вирусов не обнаружено.

Во вложении данные проверки от пользователя с правами "Администратор", и во втором архиве файлы, появившиеся на рабочем столе вышеупомянутого пользователя. Прошу обратить внимание на "Mouse Lock_v22", судя по дате файл появился задолго до заражения, 14.08.17, имя владельца не указано, и странность в том, что сам пользователь собственноручно никогда не подключался к данному хосту по RDP.

CollectionLog-2017.11.10-00.40.zip

files.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

cyber-jet

cyber-jet

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Вымогатель Dharma (.cezar), расшифровки нет.

 

В этих логах чисто. Заражена вероятно машина указанного пользователя. Если есть возможность там собрать логи, сделайте. Посмотрим, активно ли еще заражение.

 

Рабочая машина пользователя чиста, проверяли правда MS Security Essentials, и сотрудник даже не подозревает что к этому хосту можно подключится удаленно, это тем более исключает заход из дома, так как миниму нужно знать внешний IP и нужный порт нашего шлюза.

 

Заражение произошло 6-го, выходной день, сотрудника даже не было в городе, компьютер выключен.

 

Есть какие нибудь легальные способы расшифровки? Может быть какие-то компании предоставляют платные услуги в этой области?

 

PS: Есть информация, по поводу того, каковы примерные статистические средние сроки появления декриптора?

Изменено пользователем cyber-jet
Sandor

Sandor

Опубликовано
Опубликовано

был произведен вход по RDP

Пароль смените.

 

Есть какие нибудь легальные способы расшифровки?

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

какие-то компании предоставляют платные услуги в этой области?

Как правило, тоже злодеи, но посредники. Связываются с первыми и расшифровывают за бОльшую цену.

 

каковы примерные статистические средние сроки появления декриптора?

Ответа нет, т.к. зависит от многих факторов: злодеи могут выложить ключи сами, злодеев могут поймать и опубликуют ключи и т.д.

 

Ознакомьтесь со статьей.

 

Следите на сайте https://www.nomoreransom.org/ru/index.html

cyber-jet

cyber-jet

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Я правильно понимаю, из прочитанного по ссылке, что специально подбором ключа расшифровки специально для нас ни кто заниматься не будет, а будут проверены, уже имеющиеся средства, также доступные на сайте nomoreransom.org? Или есть какие-то собственные методы?

Sandor

Sandor

Опубликовано
Опубликовано

Как там это будет происходить, нам не известно. Мы - не сотрудники ЛК и связей с ними почти не имеем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...