aleksandarporfenov 0 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 Тоже поймали его сегодня, вот текст.. Your files are encrypted!YOUR PERSONAL IDZrr03PHaSrhIJOdPkxM0p8Sd4Qwz1NbEUngihWst---------------------------------------------------------------------------------Discovered a serious vulnerability in your network security.No data was stolen and no one will be able to do it while they are encrypted.For you we have automatic decryptor and instructions for remediation.---------------------------------------------------------------------------------You will receive automatic decryptor and all files will be restored---------------------------------------------------------------------------------* To be sure in getting the decryption, you can send one file(less than 10MB) to mirey@tutanota.com or teresa@tutanota.de In the letter include your personal ID(look at the beginning of this document).Attention!Attempts to self-decrypting files will result in the loss of your dataDecoders other users are not compatible with your data, because each user's unique encryption key--------------------------------------------------------------------------------- можно здесь попросить помощи, что бы тем не плодить? Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60055 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 можно здесь попросить помощи, что бы тем не плодить?у каждого пострадавшего своя тема Порядок оформления запроса о помощи Логи прикрепите к следующему сообщению в данной теме. Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 31 июля, 2018 Автор Share Опубликовано 31 июля, 2018 (изменено) Как я понял расшифровать ничего нельзя, видимо придется платить. Посмотрите пожалуйста логи, может хотя бы понятно откуда он взялся? пожрал файлы из папок с общим доступом на сервере, сами пк пользователей не тронуты CollectionLog-2018.07.31-18.17.zip Изменено 31 июля, 2018 пользователем aleksandarporfenov Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. 1 Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 31 июля, 2018 Автор Share Опубликовано 31 июля, 2018 Логи с программы FRST64log.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи. 1 Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 31 июля, 2018 Автор Share Опубликовано 31 июля, 2018 Судя по логам, источником инфекции стала другая машина в сети. В этих ни шифрованных файлов, ни сообщений вымогателей для связи. На этом сервере как раз файлы и зашифрованы, но мне тоже показалось, что атака была с пользовательского ПК. Могу я каким-то образом попытаться найти как это ПК? в подозрении у меня 12 штук.. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово. 1 Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 31 июля, 2018 Автор Share Опубликовано 31 июля, 2018 в том и проблема, что все пользовательские пк не зашифрованы. Ищите тот, на котором зашифрованы не только расшаренные папки и файлы README.txt тоже встречаются массово. еще есть одна папка на другом сервере, там много зараженных файлов, может тут что-то будет. прикрепил всё как по прошлому CollectionLog-2018.07.31-19.24.zip FRST64 log.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 Да, этот и стал источником. Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью. Пароль от RDP смените. Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе. 1 Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 31 июля, 2018 Автор Share Опубликовано 31 июля, 2018 Да, этот и стал источником. Папку C:\Confused удалите. Судя по времени ее появления, зашли первый раз около 6 вечера, а шифрование дальше запустили уже ночью. Пароль от RDP смените. Кстати, никакой установки обновлений для софта у Вас после 18:00 не планируется по расписанию? Можно еще логи сервера посмотреть, если они не зашифрованы. Возможно в них есть упоминание о выполненных после несанкционированного входа действиях. В том числе и возможное копирование информации из открываемых txt-файлов. Имя такого файла совпадает с ID в файле README.txt и расположен этот файл был на Рабочем столе. судя по диспетчеру служб удаленных столов ночью зашел под пользователем sqluser, которого я даже в ад не вижу.. Спасибо большое за наводку. а обычно появляются дешифраторы для таких шифровальщиков спустя какое-то время? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 31 июля, 2018 Share Опубликовано 31 июля, 2018 В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два.Есть такой пользователь в логе Addition.txt sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile В логе FRST.txt Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool) 1 Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 1 августа, 2018 Автор Share Опубликовано 1 августа, 2018 В данном случае его не будет. Используется неподлежащий брутфорсу генератор ключей. А ключей этих два. Есть такой пользователь в логе Addition.txt sqluser (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile В логе FRST.txt Loaded Profiles: Администратор (Available Profiles: lmihailova & amatveev & USR1CV81 & sqluser & develop & aniskin & sa & Администратор & Classic .NET AppPool) Про то, что не расшифруют никогда это конечно печально, попробуем платить, если почта их еще активна.. Юзера нашел, спасибо. И вообще спасибо, большую работу делаете Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 1 августа, 2018 Share Опубликовано 1 августа, 2018 На его Рабочем столе никаких txt-файлов с ключами тоже нет? Ссылка на сообщение Поделиться на другие сайты
aleksandarporfenov 0 Опубликовано 1 августа, 2018 Автор Share Опубликовано 1 августа, 2018 На его Рабочем столе никаких txt-файлов с ключами тоже нет? так же как и везде ридмишник и всё зашифровано Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти