Перейти к содержанию

зашифровало файлы на сервере [veracrypt@foxmail.com].adobe

Mars70
 Share

Рекомендуемые сообщения

Mars70 Новичок

Mars70

Опубликовано
Опубликовано

Добрый день, та же беда, в пятницу проник вирус, даже Касперский 11 лицензия корпоративная не помог...помогите расшифровать данные?


https://drive.google...5CJ00u6qgtTF0Qw- ссылка на логи


https://drive.google...sAJP0rrvLjUvK0e


https://drive.google...om9pG_gUxXnfaUL


 

Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано

Утилитами Касперского проверил сервер, угроз никаких не нашел, зашифрован диск Д, файлы .doc, .excel, .xml, .dbf и т.д.

Логи снял Autologger-ом, выложил выше по ссылке 1, 2 и 3 ссылка, это текстовый документ(отчет) программы FRST.

 

Вирус прилетел по почте, пришло сообщение от сотрудника со сканом в формате .jpeg, после того, как сотрудник открыл почту и сохранил картинку на свой рабочий стол, минут через 10 данные на сервере зашифровались. Не исключаю момент, что вирус проник через подключение RDP. Но, по RDP никто не подключался давно уже к этому серверу.

 

Корпоративная лицензия на 80 устройств куплена.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Логи прикрепляйте к сообщению через Расширенную форму.

2. Логи сделаны в терминальной сессии, сделайте их из консоли.

3. Вы собрали CollectionLog очень устаревшей версией, скачайте по ссылке из правил актуальную и переделайте.

 

Расшифровки этой версии вымогателя нет. На всякий случай создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано

Запрос от корпоративного аккаунта сделал. Подскажите пожалуйста, как делать логи из консоли, я не нашёл информации.

 

Новый autologger скачал.

Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

просто это на сервере зашифровало данные, с него запустить напрямую нет возможности, я подключался по RDP и через shift+OK запускал autologger.

есть какие-то другие варианты еще?

 
добавил логи с новой версии программы автологгер, подключался по RDP

CollectionLog-2019.04.30-16.35.zip

Изменено пользователем Mars70
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано

 

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

 

 

Получилось только так выполнить...

CollectionLog-2019.05.02-09.44.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

CALL-CENTER_2019-05-02_10-20-43_v4.1.4.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?
Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

пароль сменили, проблема в том, что через тимвьювер не происходит захват видео...не могу понять почему...

Изменено пользователем Mars70
Ссылка на комментарий
Поделиться на другие сайты
Mars70 Новичок

Mars70

Опубликовано
  • Автор
Опубликовано

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

подскажите, а как проверить ПК, не заражены ли они? какой именно утилитой? 

касперский 11 лицензия установлен, чем еще можно прогнать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

касперский 11 лицензия установлен

Подразумевается KES11? Достаточно, запустите на всех полную проверку.

 

Попутно через Company Account создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • Denissav
      Зашифровали файлы на сервере
      От Denissav
      Подключились к серверу 30.07 в 4 часа примерно и зашифровали файлы.  Файлы получили расширение .yLizaQzKX . Самое обидное что накопитель с архивом был на этом же сервере.
      file.zip report.zip
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...