Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Наберая этот пост второй раз и изложу суть кратко, потом дополню (выключался свет)

Заражение через RDP (зараженную машину еще ищем, сервер пока стоит выключеный, я еще буду искать по логам, кто это мог быть)
 
Зашло через учетку client1, записались файлы 10.08.2018, а запустились после перезапуска серевера 16.08.2018 (файлик был в Task и Startup папках)

Прикладываю, сам вирус шифровальщика, который я нашел, зашифрованные файлы и скриншот цены вымогателя.
1taskp.7z - сам вирус для анализа- пароль 1111 (четыре единицы)
Лог антивируса позже скину (забыл на работе), Вовремя выключил сервер из 160 Гб (архив за 8 лет) "файловой помойки" защифровало 2,8 Гб ... 
НЕ зашифровало файл базы данных, он был открыт в FireBird. Значит с открытыми файлами он не работает в шифрование. 

Восстанавливал все что целое переносом на другой сервер с помощью LiveUSB 2k10, скопировал на жеский диск который и перенес.

Вторые сутки без сна. Берегите машины и пароли RDP

Отосплюсь, отвечу на все вопросы или если кто подскажет как расшифровать - испробую. 
*есть один расшифрованый файлик, присланный вымогателем. я его прикрепил тоже 02210112.JPG (зашифрованный в архиве)

Их кошелек на который деньги собирают:
 

1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca[/size]


Строгое предупреждение от модератора thyrex
Не нужно прикреплять вредоносы

зашифрованные файлы для анализа.zip

post-50762-0-96115100-1534551483_thumb.png

post-50762-0-44611400-1534552011_thumb.jpg

Изменено пользователем thyrex
  • 4 недели спустя...
Андрей Борисович
Опубликовано

Строгое предупреждение от модератора kmscom
Оказывать любую поддержку пользователям (в частности, предлагать сценарии и способы устранения проявлений и/или последствий работы вредоносного ПО) в рамках раздела форума «Уничтожение вирусов» могут исключительно пользователи из группы Консультанты (консультанты).

Сообщение от модератора kmscom
За первоначальное нарушение пункта 2.2 (в частности, публикации сообщения касательно невыполнения порядка оформления запроса о помощи на протяжении 3 часов после размещения в теме последнего сообщения пользователя, который обратился за помощью) сообщение нарушителя удаляется.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...