Перейти к содержанию

Рекомендуемые сообщения

Александр Кравец
Опубликовано

 

 

 

Здравствуйте, обнаружился у нас в сети шивровальщик Combo. Успели его отловить пока он не зашифровал все, но многое постарадало(( Сам exe-шник нашли. Прикрепляю к письму отчет от сборщика логов, с машины на которой он был, собственно сам шифровальщик combo_encryptor_exec.zip, архив с несколькими зашифрованными файлами и их не зашифрованными оригиналами crypted_and_original.zip, а также 3 файла в которых записана цифра 1 в текстовом виде и более ничего, далее они прогнаны через шифровальщик crypted_1.zip. Может из всей этой информации получится добыть информацию по дешифрованию. Спасибо.

 

 

Скажите, пожалуйста, как вы сам вирус нашли? У меня такая же проблема

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы
Александр Кравец
Опубликовано

Практически на всех рабочих станция установлен антивирус Касперского Endpoint Secutity 10. Организация использует сетевое хранилище QNAP на Linux, подключенное как общий диск на всех компьютерах домена. Сегодня на Qnap были обнаружены зашифрованные вирусом COMBO файлы Exel.

В настоящее время я проверяю рабочие станции утилитой KVRT, но до пока не выявил источник заражения.
Подскажите, пожалуйста, каковы должны быть мои дальнейшие действия, для выявления и нейтрализации источника заражения, а также для исключения дальнейшего распространения вируса. 
В сети работает так же сервер 1с, доступ к которому осуществляется по RDP. Беспокоюсь о его возможном заражении.

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены
Александр Кравец
Опубликовано

@Александр Кравец, перечитайте правила по ссылке во втором сообщении.

Читаю правила, но не понимаю, где именно мне запускать сборщик логов и антивирусы, если зараженные файлы на сетевом хранилище под Linux. На любой рабочей станции домена?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...