Voventys 0 Опубликовано 24 мая, 2018 Share Опубликовано 24 мая, 2018 (изменено) Здравствуйте! На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке (сохранен). Есть ли возможность расшифровать файлы? FRST.ZIP CollectionLog-2018.05.24-19.40.zip Изменено 24 мая, 2018 пользователем Voventys Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 мая, 2018 Share Опубликовано 24 мая, 2018 Файл README.hta с сообщением вымогателей для связи и пример зашифрованного файла прикрепите в архиве к следующему сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 24 мая, 2018 Автор Share Опубликовано 24 мая, 2018 Прикрепил, зашифрован предположительно документ MS Word. README.zip szems@tutanota.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 мая, 2018 Share Опубликовано 24 мая, 2018 Попробуйте поискать на Рабочем столе одного из пользователей (скорее всего того, пароль к которому подобрали) файл 5WWAPYMS8FZVV67AGLH1S603XJCCS46ZI6FCJ4Q3-lan.txt и если найдется, прикрепите к сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 24 мая, 2018 Автор Share Опубликовано 24 мая, 2018 К сожалению ничего подобного найти не удалось. Искал по маске *lan.txt и *5WWAPY* на рабочем столе взломанного пользователя только 3 зашифрованных файла, один из которых ранее был прислан. Стоит отметить, что приложение было мною завершено из диспетчера задач. А шифрование закончилось когда я вынул сетевые провода(RJ45) из сетевого хранилища которое в тот момент вирус шифровал.. далее был обнаружен комп и приложение, запущенное от одного из пользователей, которое уже без признаков активности висело в процессах. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 мая, 2018 Share Опубликовано 24 мая, 2018 Тогда придется подождать, пока удастся подобрать ключ Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 24 мая, 2018 Автор Share Опубликовано 24 мая, 2018 А ждать сколько примерно? день, месяц, год? ) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 мая, 2018 Share Опубликовано 24 мая, 2018 Если повезет, завтра все получите Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 мая, 2018 Share Опубликовано 25 мая, 2018 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta Все эти файлы запакуйте и пришлите На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 25 мая, 2018 Автор Share Опубликовано 25 мая, 2018 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\Documents\README.hta2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\LocalLow\README.hta 2018-05-24 16:05 - 2018-05-24 16:05 - 000009027 _____ C:\Users\Volkov\AppData\Local\Temp\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Все пользователи\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\Desktop\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Volkov\AppData\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Downloads\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\Users\Public\Documents\README.hta 2018-05-24 16:03 - 2018-05-24 16:03 - 000009027 _____ C:\ProgramData\README.hta Все эти файлы запакуйте и пришлите На компьютере, похоже через rdp, запустился вирус шифратор, при этом исполняемый файл, находился на другом компьютере в открытой сетевой папке Предыдущий файл README.hta присылали с компьютера, на котором был найден исполняемый файл? Если нет, то его тоже пришлите. Там же стоит поискать и текстовый файл, о котором я спрашивал ранее Прикрепил. Первый ридми был с третьего компьютера куда на открытые сетевые папки вирус заходил и шифровал файлы. На всех упомянутых компьютерах файла *lan.txt не нашлось sbor.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 мая, 2018 Share Опубликовано 25 мая, 2018 Ну вот и нашелся в файлах другой ID. Ожидайте Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 мая, 2018 Share Опубликовано 25 мая, 2018 Проверьте ЛС 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 25 мая, 2018 Автор Share Опубликовано 25 мая, 2018 (изменено) Итоги - 98 локальных файлов расшифровалось, и ни одного с трех других машин. Точнее пока ни одного так как на четвертой машине (а точнее сетевой накопитель) огромное количество файлов, из них примерно 60-70 процентов успело зашифроваться. Дешифровщик, натравлен на эту папку, но пока ничего. Правда есть редкие файлы которые вроде как дешифрованы, но они не открываются. прикрепляю логи декриптора ( до попытки расшифровать сетевой накопитель, но с пробами файлов с других машин) 1 архив локальная машина (почти все расшифровано) 2 архив сетевая папка (не расшифровывается) 3 архив откуда первый ридми (ничего критичного нет) 4 архив сетевой накопитель (много нужных файлов, пока никто не дешифровался) CryptConsoleDecrypter.zip send1.zip send2.zip send3.zip send4.zip Изменено 25 мая, 2018 пользователем Voventys Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 26 мая, 2018 Share Опубликовано 26 мая, 2018 Примеры файлов с каждой из этих машин тоже пришлите отдельными архивами. Продолжим завтра. Цитата Ссылка на сообщение Поделиться на другие сайты
Voventys 0 Опубликовано 27 мая, 2018 Автор Share Опубликовано 27 мая, 2018 Соответствуют номерам архивов с ридми. send_ex1.zip send_ex2.zip send_ex3.zip send_ex4.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.