Перейти к содержанию

Encrypted Files

kudayur
 Поделиться

Рекомендуемые сообщения

kudayur

kudayur

Опубликовано
Опубликовано (изменено)

Добрый день.

На сервере, в период отключенной SRP, в терминальной сессии под эккаунтом пользователя с обычными правами пользователя домена сработал шифровальщик. Он зашифровал пользовательские данные, на которые имел права доступа этот пользователь на сетевом диске и базы 1с на самом сервере. Часть данных удалось восстановить из резервных копии, так что для анализа доступны оригинальные версии файлов и их зашифрованные версии. После срабатывания программы в атозагрузку был помещен файл с инструкцией по связи с вымогателями. После проверки KVRT и Dr.Web CureIt! был собран лог, сам файл-вирус и примеры зашифрованных файлов.

CollectionLog-2019.02.14-12.15.zip

Изменено пользователем kudayur
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Разве Autologger не предупредил вас, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Переделайте, пожалуйста.

kudayur

kudayur

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Логи перезалил, но это виртуальная машина, второй раз лог делал при подключении по RDP с параметром /admin. Предупреждения не заметил ни первый раз, ни второй, может пропустил, конечно... Если есть необходимость - могу попробовать подключиться через web доступ виртуального хостинга.

CollectionLog-2019.02.15-10.34.zip

Sandor

Sandor

Опубликовано
Опубликовано

Предупреждения не заметил ни первый раз, ни второй

Вероятно нажимали "ОК" при нажатой Shift, хотя никто об этом не просил.

 

Сейчас перепроверил, трудно не заметить :)

 

post-7386-0-71499200-1550217198_thumb.png

 

Пару-тройку зашифрованных документов вместе с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

kudayur

kudayur

Опубликовано
  • Автор
Опубликовано

Без нажатия Shift+OK, насколько я понял, будет перезагрузка, в рабочее время это было бы не удобно. Если этот этап принципиален (там 64 битная система), то выполню вечером. Скриншот просмотреть не удалось - пишет, что у меня не достаточно прав на просмотр вложения. Файлы приложил. Сам вирус нужен?

Sandor

Sandor

Опубликовано
Опубликовано

насколько я понял, будет перезагрузка

Нет, перезагрузка как раз для 32-битной системы. Для 64-битной перезагрузки не будет.

 

Файлы приложил

Возможно не нажали кнопку "Загрузить".

 

Сам вирус нужен?

Сюда - нет. Отправьте его на https://virusdesk.kaspersky.ru/
kudayur

kudayur

Опубликовано
  • Автор
Опубликовано

Кстати, на virusdesk файл определился как безопасный, хотя NOD32 квалифицировал его как Win32/Filecoder.Crysis 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Exezz
      My files got encrypted to 3R9qG8i3Z format
      Автор Exezz
      I have downloaded Adobe Acrobat archive with malware and it encrypted some of my files. It also deleted windows security which i already managed to restore. Readme file says it is PC Locker 3.0 by Mr.Robot.
      3R9qG8i3Z.rar
    • KsuOO
      Шифровальщик encrypted
      Автор KsuOO
      Зашифрован сервер 2008, сам вирус найти не удалось, др. Веб курелт его тоже не видит. Файлы зашифрованы с расширением encrypted. Дешифровщики не подошли 
    • aa3mandius
      All your files have been stolen and encrypted by C0MET
      Автор aa3mandius
      Добрый день!
      Поймали шифровальщика, формат расширения Gh9ILJq8R
      Никакой инфы нет. Сталкивался кто ?
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Danil4425
      *.1C-files
      Автор Danil4425
      Добрый день, поймали шифровщик, к сожалению тупанул и сразу переустановил под чистую систему, не загуглив, остался 1 жесткий диск зашифрованный на котором была виртуальная машина, хотелось бы по возможности хотя бы её спасти, что я могу сделать, помимо виртуальных дисков были еще файлы которые так же зашифрованы
×
×
  • Создать...