Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

На сервере, в период отключенной SRP, в терминальной сессии под эккаунтом пользователя с обычными правами пользователя домена сработал шифровальщик. Он зашифровал пользовательские данные, на которые имел права доступа этот пользователь на сетевом диске и базы 1с на самом сервере. Часть данных удалось восстановить из резервных копии, так что для анализа доступны оригинальные версии файлов и их зашифрованные версии. После срабатывания программы в атозагрузку был помещен файл с инструкцией по связи с вымогателями. После проверки KVRT и Dr.Web CureIt! был собран лог, сам файл-вирус и примеры зашифрованных файлов.

CollectionLog-2019.02.14-12.15.zip

Изменено пользователем kudayur
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Разве Autologger не предупредил вас, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Переделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Логи перезалил, но это виртуальная машина, второй раз лог делал при подключении по RDP с параметром /admin. Предупреждения не заметил ни первый раз, ни второй, может пропустил, конечно... Если есть необходимость - могу попробовать подключиться через web доступ виртуального хостинга.

CollectionLog-2019.02.15-10.34.zip

Ссылка на комментарий
Поделиться на другие сайты

Предупреждения не заметил ни первый раз, ни второй

Вероятно нажимали "ОК" при нажатой Shift, хотя никто об этом не просил.

 

Сейчас перепроверил, трудно не заметить :)

 

post-7386-0-71499200-1550217198_thumb.png

 

Пару-тройку зашифрованных документов вместе с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Без нажатия Shift+OK, насколько я понял, будет перезагрузка, в рабочее время это было бы не удобно. Если этот этап принципиален (там 64 битная система), то выполню вечером. Скриншот просмотреть не удалось - пишет, что у меня не достаточно прав на просмотр вложения. Файлы приложил. Сам вирус нужен?

Ссылка на комментарий
Поделиться на другие сайты

насколько я понял, будет перезагрузка

Нет, перезагрузка как раз для 32-битной системы. Для 64-битной перезагрузки не будет.

 

Файлы приложил

Возможно не нажали кнопку "Загрузить".

 

Сам вирус нужен?

Сюда - нет. Отправьте его на https://virusdesk.kaspersky.ru/
Ссылка на комментарий
Поделиться на другие сайты

 

 


Кстати, на virusdesk файл определился как безопасный
проверил уже детектируется и на вирустотал тоже https://www.virustotal.com/ru/file/efccbc404d676c435df70264dbd477bca29a9f7f86d35c19a3463e7be718a0ac/analysis/1550208412/
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Stone_Pickle
      Автор Stone_Pickle
      Добрый день, на двух компах спустя два месяца после установки одной игрушки пошли проблемы, а именно повышенная нагрузка на ЦП\ГП и слетел PATCH(наверное) к ping arp ipconfig и прочим консольным командам.
      Касперский, Др.Веб, АВЗ под PE и на боевой системе ничего не нашли, подозреваю неизвестный софт по пути из заголовка C:\Program Files\Client Helper
      Windows 10, Windows 11 

      Прикладываю логи с двух компьютеров, буду признателен за любую помощь. Очень не хочется переустанавливать системы
      CollectionLog-2025.03.24-20.59.zip CollectionLog-2025.03.24-21.04.zip
    • preamble
      Автор preamble
      Приветствую!

      Нашел странную директорию по пути C:\Program Files\Client Helper. В директории имелся логотип Steam и явно должен был притворяться его оверлеем. 
       
      Проверил через Kaspersky Free, файлы были помещены в карантин (директории потенциально опасных файлов приведены на скриншоте). После этого, поспешил деинсталировать вредоносный софт Client Helper 6.1.6, однако, полагаю, что после подобного стоит перепроверить логи еще раз. Отмечу, что после деинсталяции Kaspersky Free вирусов не диагностирует. Наверное, хотелось бы понять причину попадания вируса в том числе
       
      Помимо этого, в логах не нашел информации об этом, однако, директория была создана 24.11.2024 (к сожалению, сканирование логов устроил после удаления).
       
      Замечу, что я не замечал каких-либо подозрительных изменений в поведении ПК на протяжении всего времени

      CollectionLog-2025.03.30-21.11.zip
    • HugoStigliz
      Автор HugoStigliz
      Добрый вечер господа, обратились ко мне пострадавшие...
       
      1C-files
       
      Ваш идентификатор (ID) - ****1C-files
       
      образец
       
      ссылка удалена.
       
       
    • Danil4425
      Автор Danil4425
      Добрый день, поймали шифровщик, к сожалению тупанул и сразу переустановил под чистую систему, не загуглив, остался 1 жесткий диск зашифрованный на котором была виртуальная машина, хотелось бы по возможности хотя бы её спасти, что я могу сделать, помимо виртуальных дисков были еще файлы которые так же зашифрованы
×
×
  • Создать...