vovanfun 0 Опубликовано 18 августа, 2018 Share Опубликовано 18 августа, 2018 (изменено) Наберая этот пост второй раз и изложу суть кратко, потом дополню (выключался свет)Заражение через RDP (зараженную машину еще ищем, сервер пока стоит выключеный, я еще буду искать по логам, кто это мог быть) Зашло через учетку client1, записались файлы 10.08.2018, а запустились после перезапуска серевера 16.08.2018 (файлик был в Task и Startup папках)Прикладываю, сам вирус шифровальщика, который я нашел, зашифрованные файлы и скриншот цены вымогателя.1taskp.7z - сам вирус для анализа- пароль 1111 (четыре единицы)Лог антивируса позже скину (забыл на работе), Вовремя выключил сервер из 160 Гб (архив за 8 лет) "файловой помойки" защифровало 2,8 Гб ... НЕ зашифровало файл базы данных, он был открыт в FireBird. Значит с открытыми файлами он не работает в шифрование. Восстанавливал все что целое переносом на другой сервер с помощью LiveUSB 2k10, скопировал на жеский диск который и перенес.Вторые сутки без сна. Берегите машины и пароли RDPОтосплюсь, отвечу на все вопросы или если кто подскажет как расшифровать - испробую. *есть один расшифрованый файлик, присланный вымогателем. я его прикрепил тоже 02210112.JPG (зашифрованный в архиве)Их кошелек на который деньги собирают: 1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca[/size] Строгое предупреждение от модератора thyrex Не нужно прикреплять вредоносы зашифрованные файлы для анализа.zip Изменено 18 августа, 2018 пользователем thyrex Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 18 августа, 2018 Share Опубликовано 18 августа, 2018 Увы, с расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Андрей Борисович 0 Опубликовано 11 сентября, 2018 Share Опубликовано 11 сентября, 2018 Строгое предупреждение от модератора kmscom Оказывать любую поддержку пользователям (в частности, предлагать сценарии и способы устранения проявлений и/или последствий работы вредоносного ПО) в рамках раздела форума «Уничтожение вирусов» могут исключительно пользователи из группы Консультанты (консультанты). Сообщение от модератора kmscom За первоначальное нарушение пункта 2.2 (в частности, публикации сообщения касательно невыполнения порядка оформления запроса о помощи на протяжении 3 часов после размещения в теме последнего сообщения пользователя, который обратился за помощью) сообщение нарушителя удаляется. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти