Перейти к содержанию
Mars70

зашифровало файлы на сервере [veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

Добрый день, та же беда, в пятницу проник вирус, даже Касперский 11 лицензия корпоративная не помог...помогите расшифровать данные?


https://drive.google...5CJ00u6qgtTF0Qw- ссылка на логи


https://drive.google...sAJP0rrvLjUvK0e


https://drive.google...om9pG_gUxXnfaUL


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Утилитами Касперского проверил сервер, угроз никаких не нашел, зашифрован диск Д, файлы .doc, .excel, .xml, .dbf и т.д.

Логи снял Autologger-ом, выложил выше по ссылке 1, 2 и 3 ссылка, это текстовый документ(отчет) программы FRST.

 

Вирус прилетел по почте, пришло сообщение от сотрудника со сканом в формате .jpeg, после того, как сотрудник открыл почту и сохранил картинку на свой рабочий стол, минут через 10 данные на сервере зашифровались. Не исключаю момент, что вирус проник через подключение RDP. Но, по RDP никто не подключался давно уже к этому серверу.

 

Корпоративная лицензия на 80 устройств куплена.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

1. Логи прикрепляйте к сообщению через Расширенную форму.

2. Логи сделаны в терминальной сессии, сделайте их из консоли.

3. Вы собрали CollectionLog очень устаревшей версией, скачайте по ссылке из правил актуальную и переделайте.

 

Расшифровки этой версии вымогателя нет. На всякий случай создайте запрос на расшифровку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Запрос от корпоративного аккаунта сделал. Подскажите пожалуйста, как делать логи из консоли, я не нашёл информации.

 

Новый autologger скачал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

просто это на сервере зашифровало данные, с него запустить напрямую нет возможности, я подключался по RDP и через shift+OK запускал autologger.

есть какие-то другие варианты еще?

 
добавил логи с новой версии программы автологгер, подключался по RDP

CollectionLog-2019.04.30-16.35.zip

Изменено пользователем Mars70

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

 

 

Получилось только так выполнить...

CollectionLog-2019.05.02-09.44.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

CALL-CENTER_2019-05-02_10-20-43_v4.1.4.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю, может ли помочь это, я могу выгрузить один файл зашифрованный, второй будет оригинал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

пароль сменили, проблема в том, что через тимвьювер не происходит захват видео...не могу понять почему...

Изменено пользователем Mars70

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

подскажите, а как проверить ПК, не заражены ли они? какой именно утилитой? 

касперский 11 лицензия установлен, чем еще можно прогнать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

касперский 11 лицензия установлен

Подразумевается KES11? Достаточно, запустите на всех полную проверку.

 

Попутно через Company Account создайте запрос на расшифровку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.