Перейти к содержанию

Encrypted Files

kudayur
 Share

Рекомендуемые сообщения

kudayur Новичок

kudayur

Опубликовано
Опубликовано (изменено)

Добрый день.

На сервере, в период отключенной SRP, в терминальной сессии под эккаунтом пользователя с обычными правами пользователя домена сработал шифровальщик. Он зашифровал пользовательские данные, на которые имел права доступа этот пользователь на сетевом диске и базы 1с на самом сервере. Часть данных удалось восстановить из резервных копии, так что для анализа доступны оригинальные версии файлов и их зашифрованные версии. После срабатывания программы в атозагрузку был помещен файл с инструкцией по связи с вымогателями. После проверки KVRT и Dr.Web CureIt! был собран лог, сам файл-вирус и примеры зашифрованных файлов.

CollectionLog-2019.02.14-12.15.zip

Изменено пользователем kudayur
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Разве Autologger не предупредил вас, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Переделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
kudayur Новичок

kudayur

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Логи перезалил, но это виртуальная машина, второй раз лог делал при подключении по RDP с параметром /admin. Предупреждения не заметил ни первый раз, ни второй, может пропустил, конечно... Если есть необходимость - могу попробовать подключиться через web доступ виртуального хостинга.

CollectionLog-2019.02.15-10.34.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Предупреждения не заметил ни первый раз, ни второй

Вероятно нажимали "ОК" при нажатой Shift, хотя никто об этом не просил.

 

Сейчас перепроверил, трудно не заметить :)

 

post-7386-0-71499200-1550217198_thumb.png

 

Пару-тройку зашифрованных документов вместе с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
kudayur Новичок

kudayur

Опубликовано
  • Автор
Опубликовано

Без нажатия Shift+OK, насколько я понял, будет перезагрузка, в рабочее время это было бы не удобно. Если этот этап принципиален (там 64 битная система), то выполню вечером. Скриншот просмотреть не удалось - пишет, что у меня не достаточно прав на просмотр вложения. Файлы приложил. Сам вирус нужен?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

насколько я понял, будет перезагрузка

Нет, перезагрузка как раз для 32-битной системы. Для 64-битной перезагрузки не будет.

 

Файлы приложил

Возможно не нажали кнопку "Загрузить".

 

Сам вирус нужен?

Сюда - нет. Отправьте его на https://virusdesk.kaspersky.ru/
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Кстати, на virusdesk файл определился как безопасный
проверил уже детектируется и на вирустотал тоже https://www.virustotal.com/ru/file/efccbc404d676c435df70264dbd477bca29a9f7f86d35c19a3463e7be718a0ac/analysis/1550208412/
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...