Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый вечер!

"Пропустил" в свою сеть шифровальщика((

зашифровал файлы на сервере (1с, офисные файлы, файлы MDB).

На ГЛАВНЫЕ файлы есть резервные копии. так что работу фирмы в главном восстановлю.

но, вдруг, получится расшифровать другие файлы....

или хотя бы помогите, найти следы шифровальщика, почистить его и выяснить как проник?((

 

CollectionLog-2018.10.21-18.19.zip

Опубликовано

Логи нужны из обычного, а не безопасного, режима загрузки. Переделывайте.

Опубликовано

Ок. понял. сейчас сделаю


проверил комп Др.вебером. суре-ит.

ничего не нашел. подозреваю что этот сервер "жертва", а не источник заразы.

 

сейчас буду провнрять второй сервер(


Вот лог сканирования второго сервера.

сейчас проверяю Куре-ит (др. Вебер)


вот скриншот с одного сервера.

может поможет.


Ну, что там? Что нибудь выяснилось?

CollectionLog-2018.10.21-18.59.zip

CollectionLog-2018.10.21-19.24.zip

post-38308-0-98849600-1540140451_thumb.gif

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

Это я уже понял((

может поможете проверить, остались ли "хвосты шифровальщиков"?

чтобы я смог спокойно восстанавливать некоторые файлы из "резерва".

и может "путь" проникновения укажете? ))

Опубликовано

понял. спасибо.

"путей проникновения и атак" не видно в логах?)

Опубликовано

Скорее всего вход по RDP, если судить по времени появления некоторых файлов с сообщением от вымогателей.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • smaxdv
      Автор smaxdv
      Подверглись заражению, и получили зашифрованные файлы, к имени файла добавилась строка !____hamil8642@gmail.com___.GRANIT
      Файл сгенерированный AutoLogger  во вложении

      В дополнительном архиве "Новая папка (2)" зашифрованный файл и его сохранившийся оригинал
      CollectionLog-2016.12.26-14.13.zip
      Новая папка (2).zip
    • Arles
      Автор Arles
      такаяже фигня, имеется сервак на server 2012 r2 и куча пользователей, файлы в папках с открытым доступом все зашифрованы и имеют вид "TDC_Cipher2.plu.[amagnus@india.com].wallet!____hamil8642@gmail.com___.GRANIT"
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы CollectionLog-2016.12.24-11.49.zip
    • Дмитрий Лубенцов
      Автор Дмитрий Лубенцов
      Добрый день!
      На сервере в паблике зашифровались файлы. Помогите расшифровать файлы
       
    • Adil
      Автор Adil
      Добрый день!
      Пользователь открыл шифровальщика, зашифрованы все файлы. Суть проблемы что к этому компу была подключена сетевая папка как виртуальный диск, и информации на 80 ГБ вся зашифрована индексом *.GRANIT. А название изменилось на  имя____hamil8642@gmail.com___.GRANIT.  На зараженном компьютере пользователь сделал восстановление системы. Осталось только зашифрованная сетевая папка
      CollectionLog-2016.12.14-14.08.zip
    • antgenp
      Автор antgenp
      Добрый день!
      На сервер залез вирус-шифровальщик, дописывающий в конец имени файла строку !_____DILINGER7900@GMAIL.COM_____.GRANIT.
      Помогите, пожалуйста, расшифровать, если есть такая возможность.
      На ПК стоял Kaspersky Endpoint Security 10.
       
      CollectionLog-2016.12.02-14.25.zip
×
×
  • Создать...