crysis шифровальщик id-EA7B4B15.[veracrypt@foxmail.com].adobe

31 января, 2019

сегодня перестал отвечать сервер (1С), оказалось что через udp порт пришел троян шифровальщик ( id-EA7B4B15.[veracrypt@foxmail.com].adobe) и зашифровал все данные вместе с БД.

По неосторожности начал проверку установленным каспером (во время атаки он не работал) и видимо он успел удалить 2-3 файла вируса. прикреплю выдержку из лога каспера(kes10.txt).

CollectionLog-2019.01.31-13.10.zip

kes10.txt

31 января, 2019

Здравствуйте!

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"

Создайте запрос на расшифровку.

31 января, 2019

Здравствуйте!

"Пофиксите" в HijackThis:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
Создайте запрос на расшифровку.

Спасибо, сделал по инструкции.

Очень быстро ответили, спасибо.

Я правильно понимаю - что сервер вне опасности теперь? Или кроме расшифровки его лучше прошерстить антивирусом?

Возник вопрос по расшифровке:

Описал проблему как мог, приложил те же файлы что в этой теме выкладывал.

Этого достаточно? или еще что то может понадобиться? Как думаете?

Я просто первый раз на этом форуме и с проблемой шифровальщиков столкнулся.

А как быстро они обычно отвечают? просто работа бухгалтерии стоит(

Если что лицензия корпоративная, соответственно и обращался в поддержку CompanyAccount

Изменено 31 января, 2019 пользователем vudguit

31 января, 2019

Этого достаточно?

Пару зашифрованных документов вместе с запиской с требованием выкупа упакуйте и тоже добавьте.

Ссылку на эту тему можете там указать.

просто работа бухгалтерии стоит

Не хочется огорчать, но быстрого решения вероятнее всего не будет.

31 января, 2019

Жаль конечно же((( Но что поделаешь. Спасибо за помощь

1 февраля, 2019

Этого достаточно?
Пару зашифрованных документов вместе с запиской с требованием выкупа упакуйте и тоже добавьте.
Ссылку на эту тему можете там указать.

просто работа бухгалтерии стоит
Не хочется огорчать, но быстрого решения вероятнее всего не будет.

Можно ли определить как был получен вирус? Какой пользователь, какой процесс его активировал?

1 февраля, 2019

Вероятно был взломан пароль на RDP.

Ознакомьтесь с настройкой защиты от подобных инцидентов.

crysis шифровальщик id-EA7B4B15.[veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

vudguit

Sandor

vudguit

Sandor

vudguit

vudguit

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum