taranoff 0 Опубликовано 21 октября, 2018 Share Опубликовано 21 октября, 2018 Добрый вечер! "Пропустил" в свою сеть шифровальщика(( зашифровал файлы на сервере (1с, офисные файлы, файлы MDB). На ГЛАВНЫЕ файлы есть резервные копии. так что работу фирмы в главном восстановлю. но, вдруг, получится расшифровать другие файлы.... или хотя бы помогите, найти следы шифровальщика, почистить его и выяснить как проник?(( CollectionLog-2018.10.21-18.19.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 октября, 2018 Share Опубликовано 21 октября, 2018 Логи нужны из обычного, а не безопасного, режима загрузки. Переделывайте. Ссылка на сообщение Поделиться на другие сайты
taranoff 0 Опубликовано 21 октября, 2018 Автор Share Опубликовано 21 октября, 2018 Ок. понял. сейчас сделаю проверил комп Др.вебером. суре-ит. ничего не нашел. подозреваю что этот сервер "жертва", а не источник заразы. сейчас буду провнрять второй сервер( Вот лог сканирования второго сервера. сейчас проверяю Куре-ит (др. Вебер) вот скриншот с одного сервера. может поможет. Ну, что там? Что нибудь выяснилось? CollectionLog-2018.10.21-18.59.zip CollectionLog-2018.10.21-19.24.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 октября, 2018 Share Опубликовано 21 октября, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
taranoff 0 Опубликовано 21 октября, 2018 Автор Share Опубликовано 21 октября, 2018 готово Files.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 октября, 2018 Share Опубликовано 21 октября, 2018 RotoCrypt. Никаких шансов на расшифровку Ссылка на сообщение Поделиться на другие сайты
taranoff 0 Опубликовано 21 октября, 2018 Автор Share Опубликовано 21 октября, 2018 Это я уже понял(( может поможете проверить, остались ли "хвосты шифровальщиков"? чтобы я смог спокойно восстанавливать некоторые файлы из "резерва". и может "путь" проникновения укажете? )) Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 октября, 2018 Share Опубликовано 21 октября, 2018 Активного шифратора в логах не видно Ссылка на сообщение Поделиться на другие сайты
taranoff 0 Опубликовано 21 октября, 2018 Автор Share Опубликовано 21 октября, 2018 понял. спасибо. "путей проникновения и атак" не видно в логах?) Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Скорее всего вход по RDP, если судить по времени появления некоторых файлов с сообщением от вымогателей. Ссылка на сообщение Поделиться на другие сайты
taranoff 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 ок. спасибо) Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти