Перейти к содержанию

Шифровальщик зашифровал файлы. Зашифрованные файлы с расширением 1с.

taranoff
 Поделиться

Рекомендуемые сообщения

taranoff

taranoff

Опубликовано
Опубликовано

Добрый вечер!

"Пропустил" в свою сеть шифровальщика((

зашифровал файлы на сервере (1с, офисные файлы, файлы MDB).

На ГЛАВНЫЕ файлы есть резервные копии. так что работу фирмы в главном восстановлю.

но, вдруг, получится расшифровать другие файлы....

или хотя бы помогите, найти следы шифровальщика, почистить его и выяснить как проник?((

 

CollectionLog-2018.10.21-18.19.zip

thyrex

thyrex

Опубликовано
Опубликовано

Логи нужны из обычного, а не безопасного, режима загрузки. Переделывайте.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

Ок. понял. сейчас сделаю


проверил комп Др.вебером. суре-ит.

ничего не нашел. подозреваю что этот сервер "жертва", а не источник заразы.

 

сейчас буду провнрять второй сервер(


Вот лог сканирования второго сервера.

сейчас проверяю Куре-ит (др. Вебер)


вот скриншот с одного сервера.

может поможет.


Ну, что там? Что нибудь выяснилось?

CollectionLog-2018.10.21-18.59.zip

CollectionLog-2018.10.21-19.24.zip

post-38308-0-98849600-1540140451_thumb.gif

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

Это я уже понял((

может поможете проверить, остались ли "хвосты шифровальщиков"?

чтобы я смог спокойно восстанавливать некоторые файлы из "резерва".

и может "путь" проникновения укажете? ))

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

понял. спасибо.

"путей проникновения и атак" не видно в логах?)

thyrex

thyrex

Опубликовано
Опубликовано

Скорее всего вход по RDP, если судить по времени появления некоторых файлов с сообщением от вымогателей.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...