Encrypted Files

14 февраля, 2019

Добрый день.

На сервере, в период отключенной SRP, в терминальной сессии под эккаунтом пользователя с обычными правами пользователя домена сработал шифровальщик. Он зашифровал пользовательские данные, на которые имел права доступа этот пользователь на сетевом диске и базы 1с на самом сервере. Часть данных удалось восстановить из резервных копии, так что для анализа доступны оригинальные версии файлов и их зашифрованные версии. После срабатывания программы в атозагрузку был помещен файл с инструкцией по связи с вымогателями. После проверки KVRT и Dr.Web CureIt! был собран лог, сам файл-вирус и примеры зашифрованных файлов.

CollectionLog-2019.02.14-12.15.zip

Изменено 14 февраля, 2019 пользователем kudayur

14 февраля, 2019

Здравствуйте!

Разве Autologger не предупредил вас, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Переделайте, пожалуйста.

15 февраля, 2019

Здравствуйте. Логи перезалил, но это виртуальная машина, второй раз лог делал при подключении по RDP с параметром /admin. Предупреждения не заметил ни первый раз, ни второй, может пропустил, конечно... Если есть необходимость - могу попробовать подключиться через web доступ виртуального хостинга.

CollectionLog-2019.02.15-10.34.zip

15 февраля, 2019

Предупреждения не заметил ни первый раз, ни второй

Вероятно нажимали "ОК" при нажатой Shift, хотя никто об этом не просил.

Сейчас перепроверил, трудно не заметить

Пару-тройку зашифрованных документов вместе с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

15 февраля, 2019

Без нажатия Shift+OK, насколько я понял, будет перезагрузка, в рабочее время это было бы не удобно. Если этот этап принципиален (там 64 битная система), то выполню вечером. Скриншот просмотреть не удалось - пишет, что у меня не достаточно прав на просмотр вложения. Файлы приложил. Сам вирус нужен?

15 февраля, 2019

насколько я понял, будет перезагрузка

Нет, перезагрузка как раз для 32-битной системы. Для 64-битной перезагрузки не будет.

Файлы приложил

Возможно не нажали кнопку "Загрузить".

Сам вирус нужен?

Сюда - нет. Отправьте его на https://virusdesk.kaspersky.ru/

15 февраля, 2019

Пардон. Логи из консоли.

Files.zip

16 февраля, 2019

Кстати, на virusdesk файл определился как безопасный, хотя NOD32 квалифицировал его как Win32/Filecoder.Crysis

16 февраля, 2019

@kudayur, скиньте мне в ЛС файл.

16 февраля, 2019

Кстати, на virusdesk файл определился как безопасный

проверил уже детектируется и на вирустотал тоже https://www.virustotal.com/ru/file/efccbc404d676c435df70264dbd477bca29a9f7f86d35c19a3463e7be718a0ac/analysis/1550208412/

16 февраля, 2019

А он что из новоиспеченных?

Encrypted Files

Рекомендуемые сообщения

kudayur

Sandor

kudayur

Sandor

kudayur

Sandor

kudayur

kudayur

regist

regist

kudayur

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum