Babayguy Опубликовано 16 мая, 2018 Опубликовано 16 мая, 2018 (изменено) Зашифрованы файлы на сервере. Почти все файлы переименованы в xzer@tutanota.com_случайные цифры.В папках с файлами появился html документ, предлагающий заплатить биткоин за разблокировку. Файлов очень много, несколько тб. Особо важных нет(были бэкапы) но всё же хочется восстановить хотя бы часть. Откуда шифровальщик попал на сервер неизвестно, скорее всего скачал кто-то из сотрудников. CollectionLog-2018.05.16-17.58.zip Изменено 16 мая, 2018 пользователем Babayguy
thyrex Опубликовано 16 мая, 2018 Опубликовано 16 мая, 2018 Файл с сообщением вымогателей прикрепите в архиве к следующему сообщению
Babayguy Опубликовано 16 мая, 2018 Автор Опубликовано 16 мая, 2018 "Сообщение слишком короткое". HOW DECRIPT FILES.rar
Babayguy Опубликовано 16 мая, 2018 Автор Опубликовано 16 мая, 2018 Пример зашифрованого файла не нужно приложить?
thyrex Опубликовано 16 мая, 2018 Опубликовано 16 мая, 2018 (изменено) На всякий случай приложите. Update: проверьте ЛС Изменено 16 мая, 2018 пользователем thyrex
Babayguy Опубликовано 17 мая, 2018 Автор Опубликовано 17 мая, 2018 В архиве пример зашифрованого файла и результат выполнения дешифратора на этот файл. Primer.rar
thyrex Опубликовано 17 мая, 2018 Опубликовано 17 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Babayguy Опубликовано 17 мая, 2018 Автор Опубликовано 17 мая, 2018 "Сообщение слишком короткое." FRST.rar
thyrex Опубликовано 17 мая, 2018 Опубликовано 17 мая, 2018 Возможно, это новая модификация. Нужно тело вируса
Babayguy Опубликовано 18 мая, 2018 Автор Опубликовано 18 мая, 2018 Где его взять и как выслать? Сервер уже чистил, вроде как.
thyrex Опубликовано 18 мая, 2018 Опубликовано 18 мая, 2018 Тут уж мне неведомо, где искать (и найдете ли). Обычно название файла с этим вирусом что-то типа smsss.exe (не путать с системным файлом smss.exe)
thyrex Опубликовано 18 мая, 2018 Опубликовано 18 мая, 2018 Попробуйте с помощью программ восстановления данных поискать на Рабочем столе удаленный файл с возможным именем GGPN350MYXCLMNMEFW623R940N2TNHSO5WQFBCH8-lan.txt Если подозреваете, что файл был запущен кем-то из сотрудников, придется это сделать и на их компьютерах. Еще возможен вариант захода злоумышленников по RDP путем подбора пароля к компьютеру какого-либо пользователя.
Babayguy Опубликовано 20 мая, 2018 Автор Опубликовано 20 мая, 2018 В любом случае, было решено всё просто отформатировать. Если переустановить ОС и отформатировать остальные жд, вирус 100% будет удален?
thyrex Опубликовано 20 мая, 2018 Опубликовано 20 мая, 2018 Активного вируса в логах не видно. По информации от зарубежных коллег никаких изменений алгоритма шифрования в версии с этой почтой нет. Как вариант попробуйте поискать файл xzer@tutanota.com_736D7373732E657865. Это может быть просто переименованный файл шифратора.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти