TWoF 0 Опубликовано 26 ноября, 2018 Share Опубликовано 26 ноября, 2018 (изменено) Добрый день. Поймали шифровальщика [stonecrypt].adobe через сбрученный RDP. Успел отработать примерно 40 минут, пока его не остановили, зашифровав, само собой, самые нужные файлы. Как я уже понял из аналогичных тем за последний месяц - расшифровать уже ничего не выйдет, но хотя бы удастся очистить сервер от этой гадости. Логи FRST прилагаю. FRST.txt Addition.txt Изменено 26 ноября, 2018 пользователем TWoF Ссылка на сообщение Поделиться на другие сайты
kmscom 2 358 Опубликовано 26 ноября, 2018 Share Опубликовано 26 ноября, 2018 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Ссылка на сообщение Поделиться на другие сайты
TWoF 0 Опубликовано 26 ноября, 2018 Автор Share Опубликовано 26 ноября, 2018 Логи от AutoLogger'а CollectionLog-2018.11.26-19.08.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2018 Share Опубликовано 26 ноября, 2018 Смотрю после первого случая заражения шифровальщиком в 2016 году никаких выводов для себя ИТ служба Вашей организации не сделала. 2018-11-26 10:28 - 2018-11-26 10:28 - 000642872 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump_big.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000495484 _____ C:\Users\Aleksey\AppData\Local\Temp\UND9B8D9.ac$.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000253728 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000221632 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-QRSTVVWYZABCDEFGHIJKMNNOQRRSUV.WXY.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe 2018-11-26 10:28 - 2018-11-26 10:28 - 000161888 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-MOPQSTUVWXYZABCEEFGIIJLMNNPQRR.TUV.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe Путь сбойного приложения: \\tsclient\A Какие файлы остались на этой шаре? Ссылка на сообщение Поделиться на другие сайты
TWoF 0 Опубликовано 26 ноября, 2018 Автор Share Опубликовано 26 ноября, 2018 (изменено) Увы, но ничего служба не сделала, заодно оставив после себя крайне некорректную информацию о происходящем в этой сети. Шифровальщик начал работу с сервера, и зашифровал немного файлов на NASе - там затронуто совсем немного файлов. Изменено 26 ноября, 2018 пользователем TWoF Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2018 Share Опубликовано 26 ноября, 2018 Если мер соответствующих не примите, Вас будут ломать все кому не лень, а учетные данные для доступа к серверу будут продаваться на черном рынке. В сетевой общей папке остались какие-то файлы? Путь к шаре \\tsclient\A Ссылка на сообщение Поделиться на другие сайты
TWoF 0 Опубликовано 26 ноября, 2018 Автор Share Опубликовано 26 ноября, 2018 Как я понял, tslient - это сам сервер, а папка A - это примонтированная через Самбу к нему сетевая папка. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2018 Share Опубликовано 26 ноября, 2018 В этой сетевой папке какие-нибудь исполняемые файлы остались? Ссылка на сообщение Поделиться на другие сайты
TWoF 0 Опубликовано 26 ноября, 2018 Автор Share Опубликовано 26 ноября, 2018 На этом диске есть исполняемые файлы - в другой папке, на которую у пользователя, с которого началось шифрование, нет доступа. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 27 ноября, 2018 Share Опубликовано 27 ноября, 2018 Ладно, не буду больше мучить, пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525, а там разберутся. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти