Seoul Опубликовано 29 мая, 2018 Опубликовано 29 мая, 2018 (изменено) Здравствуйте. Ночью зашифровались сетевые диски на сервере. На данный момент не удалось вычислить комп, на котором запустился шифратор, т.к. ни на одном компе в сети ничего не зашифровано, только на сервере. Скорее всего rdp Прилагаю логи от Farbar С вероятностью 99% через rpd. Файлы How Decrypt Files.hta все автор один пользователь который имел rpd с слабым паролем. Провел сканирование AVZ, отправил отчет-архив. upd. Kaspersky Virus Removal Tool ничего не нашел. Autologger не удается запустить по rdp. Изменено 29 мая, 2018 пользователем Seoul
thyrex Опубликовано 29 мая, 2018 Опубликовано 29 мая, 2018 Autologger нужно запускать прямо за компьютером из локальной сессии
Seoul Опубликовано 29 мая, 2018 Автор Опубликовано 29 мая, 2018 К сожалению прямо сейчас нет возможности. Подскажите пожалуйста что-то я могу сделать прямо сейчас удаленно?
Seoul Опубликовано 29 мая, 2018 Автор Опубликовано 29 мая, 2018 Логи Farbar прикрепите хотя бы тогда Прилагаю логи autologger и farbar. Извините думал он был приложен. 1.zip CollectionLog-2018.05.29-11.41.zip
thyrex Опубликовано 29 мая, 2018 Опубликовано 29 мая, 2018 Образец зашифрованного файла вместе с сообщением от вымогателей прикрепите в архиве к следующему сообщению
Seoul Опубликовано 29 мая, 2018 Автор Опубликовано 29 мая, 2018 Приложил файл и письмо вымогателя в архиве Прилагаю пару файлов, оригинал и зашифрованная версия. crypted_file_seoul.zip pair_files.zip
thyrex Опубликовано 29 мая, 2018 Опубликовано 29 мая, 2018 (изменено) Ожидайте Проверьте ЛС Изменено 29 мая, 2018 пользователем thyrex
Seoul Опубликовано 30 мая, 2018 Автор Опубликовано 30 мая, 2018 Доброго времени суток всем. Дешифратор работает, на данный момент расшифровал достаточно большие базы The Bat. Письма видны и доступны. Продолжаю дешифровку. Большое спасибо за помощь.
Seoul Опубликовано 30 мая, 2018 Автор Опубликовано 30 мая, 2018 Все файлы расшифрованы. Письма от вымогателей планирую удалить через поиск тотал командера. Большое спасибо за помощь.
thyrex Опубликовано 30 мая, 2018 Опубликовано 30 мая, 2018 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти