Шифровальщик [stopencrypt@qq.com].adobe

26 ноября, 2018

Добрый день.

Поймали шифровальщика [stonecrypt].adobe через сбрученный RDP. Успел отработать примерно 40 минут, пока его не остановили, зашифровав, само собой, самые нужные файлы. Как я уже понял из аналогичных тем за последний месяц - расшифровать уже ничего не выйдет, но хотя бы удастся очистить сервер от этой гадости. Логи FRST прилагаю.

FRST.txt

Addition.txt

Изменено 26 ноября, 2018 пользователем TWoF

26 ноября, 2018

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

26 ноября, 2018

Логи от AutoLogger'а

CollectionLog-2018.11.26-19.08.zip

26 ноября, 2018

Смотрю после первого случая заражения шифровальщиком в 2016 году никаких выводов для себя ИТ служба Вашей организации не сделала.

2018-11-26 10:28 - 2018-11-26 10:28 - 000642872 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump_big.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000495484 _____ C:\Users\Aleksey\AppData\Local\Temp\UND9B8D9.ac$.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000253728 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000221632 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-QRSTVVWYZABCDEFGHIJKMNNOQRRSUV.WXY.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000161888 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-MOPQSTUVWXYZABCEEFGIIJLMNNPQRR.TUV.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe

Путь сбойного приложения: \\tsclient\A

Какие файлы остались на этой шаре?

26 ноября, 2018

Увы, но ничего служба не сделала, заодно оставив после себя крайне некорректную информацию о происходящем в этой сети.

Шифровальщик начал работу с сервера, и зашифровал немного файлов на NASе - там затронуто совсем немного файлов.

Изменено 26 ноября, 2018 пользователем TWoF

26 ноября, 2018

Если мер соответствующих не примите, Вас будут ломать все кому не лень, а учетные данные для доступа к серверу будут продаваться на черном рынке. В сетевой общей папке остались какие-то файлы? Путь к шаре \\tsclient\A

26 ноября, 2018

Как я понял, tslient - это сам сервер, а папка A - это примонтированная через Самбу к нему сетевая папка.

26 ноября, 2018

В этой сетевой папке какие-нибудь исполняемые файлы остались?

26 ноября, 2018

На этом диске есть исполняемые файлы - в другой папке, на которую у пользователя, с которого началось шифрование, нет доступа.

27 ноября, 2018

Ладно, не буду больше мучить, пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525, а там разберутся.

Шифровальщик [stopencrypt@qq.com].adobe

Рекомендуемые сообщения

TWoF

Ссылка на комментарий

Поделиться на другие сайты

kmscom

Ссылка на комментарий

Поделиться на другие сайты

TWoF

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TWoF

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TWoF

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TWoF

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum