Encrypted Files

[kudayur]

Добрый день.

На сервере, в период отключенной SRP, в терминальной сессии под эккаунтом пользователя с обычными правами пользователя домена сработал шифровальщик. Он зашифровал пользовательские данные, на которые имел права доступа этот пользователь на сетевом диске и базы 1с на самом сервере. Часть данных удалось восстановить из резервных копии, так что для анализа доступны оригинальные версии файлов и их зашифрованные версии. После срабатывания программы в атозагрузку был помещен файл с инструкцией по связи с вымогателями. После проверки KVRT и Dr.Web CureIt! был собран лог, сам файл-вирус и примеры зашифрованных файлов.

CollectionLog-2019.02.14-12.15.zip

Изменено 14 февраля, 2019 пользователем kudayur

[Sandor]

Здравствуйте!

 

Разве Autologger не предупредил вас, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Переделайте, пожалуйста.

[kudayur]

Здравствуйте. Логи перезалил, но это виртуальная машина, второй раз лог делал при подключении по RDP с параметром /admin. Предупреждения не заметил ни первый раз, ни второй, может пропустил, конечно... Если есть необходимость - могу попробовать подключиться через web доступ виртуального хостинга.

CollectionLog-2019.02.15-10.34.zip

[Sandor]

Предупреждения не заметил ни первый раз, ни второй

Вероятно нажимали "ОК" при нажатой Shift, хотя никто об этом не просил.

 

Сейчас перепроверил, трудно не заметить

 

 

Пару-тройку зашифрованных документов вместе с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

[kudayur]

Без нажатия Shift+OK, насколько я понял, будет перезагрузка, в рабочее время это было бы не удобно. Если этот этап принципиален (там 64 битная система), то выполню вечером. Скриншот просмотреть не удалось - пишет, что у меня не достаточно прав на просмотр вложения. Файлы приложил. Сам вирус нужен?

[Sandor]

насколько я понял, будет перезагрузка

Нет, перезагрузка как раз для 32-битной системы. Для 64-битной перезагрузки не будет.

 

Файлы приложил

Возможно не нажали кнопку "Загрузить".

 

Сам вирус нужен?

Сюда - нет. Отправьте его на https://virusdesk.kaspersky.ru/

[kudayur]

Пардон. Логи  из консоли.

Files.zip

[kudayur]

Кстати, на virusdesk файл определился как безопасный, хотя NOD32 квалифицировал его как Win32/Filecoder.Crysis 

 

[regist]

@kudayur, скиньте мне в ЛС файл.

[regist]

 

 

Кстати, на virusdesk файл определился как безопасный

проверил уже детектируется и на вирустотал тоже https://www.virustotal.com/ru/file/efccbc404d676c435df70264dbd477bca29a9f7f86d35c19a3463e7be718a0ac/analysis/1550208412/

[kudayur]

А он что из новоиспеченных?