Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик [stopencrypt@qq.com].adobe

TWoF
 Share Подписчики 0

Рекомендуемые сообщения

TWoF

TWoF 0

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Поймали шифровальщика [stonecrypt].adobe через сбрученный RDP. Успел отработать примерно 40 минут, пока его не остановили, зашифровав, само собой, самые нужные файлы. Как я уже понял из аналогичных тем за последний месяц - расшифровать уже ничего не выйдет, но хотя бы удастся очистить сервер от этой гадости. Логи FRST прилагаю.

FRST.txt

Addition.txt

Изменено пользователем TWoF
Ссылка на сообщение
Поделиться на другие сайты
kmscom

kmscom 2 358

Опубликовано
Опубликовано

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

Смотрю после первого случая заражения шифровальщиком в 2016 году никаких выводов для себя ИТ служба Вашей организации не сделала.

2018-11-26 10:28 - 2018-11-26 10:28 - 000642872 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump_big.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000495484 _____ C:\Users\Aleksey\AppData\Local\Temp\UND9B8D9.ac$.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000253728 _____ C:\Users\Aleksey\AppData\Local\Temp\acminidump.dmp.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000221632 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-QRSTVVWYZABCDEFGHIJKMNNOQRRSUV.WXY.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe
2018-11-26 10:28 - 2018-11-26 10:28 - 000161888 _____ C:\Users\Aleksey\Documents\email-agent.vayne@india.com.ver-CL 1.2.0.0.id-CEFGIKLLMOPPRSTTVWXYZABCDEFHHIKLLMOP-21.10.2016 7@30@108628944.randomname-MOPQSTUVWXYZABCEEFGIIJLMNNPQRR.TUV.cbf.id-C09A26E6.[stopencrypt@qq.com].adobe

Путь сбойного приложения: \\tsclient\A

Какие файлы остались на этой шаре?

Ссылка на сообщение
Поделиться на другие сайты
TWoF

TWoF 0

Опубликовано
  • Автор
Опубликовано (изменено)

Увы, но ничего служба не сделала, заодно оставив после себя крайне некорректную информацию о происходящем в этой сети. 

Шифровальщик начал работу с сервера, и зашифровал немного файлов на NASе - там затронуто совсем немного файлов.

Изменено пользователем TWoF
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

Если мер соответствующих не примите, Вас будут ломать все кому не лень, а учетные данные для доступа к серверу будут продаваться на черном рынке. В сетевой общей папке остались какие-то файлы? Путь к шаре \\tsclient\A

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...