TWoF Опубликовано 26 ноября, 2018 Опубликовано 26 ноября, 2018 (изменено) Добрый день. Поймали шифровальщика [stonecrypt].adobe через сбрученный RDP. Успел отработать примерно 40 минут, пока его не остановили, зашифровав, само собой, самые нужные файлы. Как я уже понял из аналогичных тем за последний месяц - расшифровать уже ничего не выйдет, но хотя бы удастся очистить сервер от этой гадости. Логи FRST прилагаю. FRST.txt Addition.txt Изменено 26 ноября, 2018 пользователем TWoF
kmscom Опубликовано 26 ноября, 2018 Опубликовано 26 ноября, 2018 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
TWoF Опубликовано 26 ноября, 2018 Автор Опубликовано 26 ноября, 2018 Логи от AutoLogger'а CollectionLog-2018.11.26-19.08.zip
mike 1 Опубликовано 26 ноября, 2018 Опубликовано 26 ноября, 2018 Смотрю после первого случая заражения шифровальщиком в 2016 году никаких выводов для себя ИТ служба Вашей организации не сделала. 2018-11-26 10:28 - 2018-11-26 10:28 - 000642872 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump_big.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000495484 _____ C:\Users\Aleksey\AppData\Local\Temp\UND9B8D9.ac$.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000253728 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000221632 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-QRSTVVWYZABCDEFGHIJKMNNOQRRSUV.WXY.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000161888 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-MOPQSTUVWXYZABCEEFGIIJLMNNPQRR.TUV.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe Путь сбойного приложения: \\tsclient\A Какие файлы остались на этой шаре?
TWoF Опубликовано 26 ноября, 2018 Автор Опубликовано 26 ноября, 2018 (изменено) Увы, но ничего служба не сделала, заодно оставив после себя крайне некорректную информацию о происходящем в этой сети. Шифровальщик начал работу с сервера, и зашифровал немного файлов на NASе - там затронуто совсем немного файлов. Изменено 26 ноября, 2018 пользователем TWoF
mike 1 Опубликовано 26 ноября, 2018 Опубликовано 26 ноября, 2018 Если мер соответствующих не примите, Вас будут ломать все кому не лень, а учетные данные для доступа к серверу будут продаваться на черном рынке. В сетевой общей папке остались какие-то файлы? Путь к шаре \\tsclient\A
TWoF Опубликовано 26 ноября, 2018 Автор Опубликовано 26 ноября, 2018 Как я понял, tslient - это сам сервер, а папка A - это примонтированная через Самбу к нему сетевая папка.
mike 1 Опубликовано 26 ноября, 2018 Опубликовано 26 ноября, 2018 В этой сетевой папке какие-нибудь исполняемые файлы остались?
TWoF Опубликовано 26 ноября, 2018 Автор Опубликовано 26 ноября, 2018 На этом диске есть исполняемые файлы - в другой папке, на которую у пользователя, с которого началось шифрование, нет доступа.
mike 1 Опубликовано 27 ноября, 2018 Опубликовано 27 ноября, 2018 Ладно, не буду больше мучить, пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525, а там разберутся.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти