Перейти к содержанию

зашифровало файлы на сервере [veracrypt@foxmail.com].adobe

Mars70
 Поделиться

Рекомендуемые сообщения

Mars70

Mars70

Опубликовано
Опубликовано

Добрый день, та же беда, в пятницу проник вирус, даже Касперский 11 лицензия корпоративная не помог...помогите расшифровать данные?


https://drive.google...5CJ00u6qgtTF0Qw- ссылка на логи


https://drive.google...sAJP0rrvLjUvK0e


https://drive.google...om9pG_gUxXnfaUL


 

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Утилитами Касперского проверил сервер, угроз никаких не нашел, зашифрован диск Д, файлы .doc, .excel, .xml, .dbf и т.д.

Логи снял Autologger-ом, выложил выше по ссылке 1, 2 и 3 ссылка, это текстовый документ(отчет) программы FRST.

 

Вирус прилетел по почте, пришло сообщение от сотрудника со сканом в формате .jpeg, после того, как сотрудник открыл почту и сохранил картинку на свой рабочий стол, минут через 10 данные на сервере зашифровались. Не исключаю момент, что вирус проник через подключение RDP. Но, по RDP никто не подключался давно уже к этому серверу.

 

Корпоративная лицензия на 80 устройств куплена.

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Логи прикрепляйте к сообщению через Расширенную форму.

2. Логи сделаны в терминальной сессии, сделайте их из консоли.

3. Вы собрали CollectionLog очень устаревшей версией, скачайте по ссылке из правил актуальную и переделайте.

 

Расшифровки этой версии вымогателя нет. На всякий случай создайте запрос на расшифровку.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Запрос от корпоративного аккаунта сделал. Подскажите пожалуйста, как делать логи из консоли, я не нашёл информации.

 

Новый autologger скачал.

Sandor

Sandor

Опубликовано
Опубликовано

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

просто это на сервере зашифровало данные, с него запустить напрямую нет возможности, я подключался по RDP и через shift+OK запускал autologger.

есть какие-то другие варианты еще?

 
добавил логи с новой версии программы автологгер, подключался по RDP

CollectionLog-2019.04.30-16.35.zip

Изменено пользователем Mars70
Sandor

Sandor

Опубликовано
Опубликовано

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

 

 

Получилось только так выполнить...

CollectionLog-2019.05.02-09.44.zip

Sandor

Sandor

Опубликовано
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

CALL-CENTER_2019-05-02_10-20-43_v4.1.4.7z

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Не знаю, может ли помочь это, я могу выгрузить один файл зашифрованный, второй будет оригинал.

Sandor

Sandor

Опубликовано
Опубликовано

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

пароль сменили, проблема в том, что через тимвьювер не происходит захват видео...не могу понять почему...

Изменено пользователем Mars70
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

подскажите, а как проверить ПК, не заражены ли они? какой именно утилитой? 

касперский 11 лицензия установлен, чем еще можно прогнать?

Sandor

Sandor

Опубликовано
Опубликовано

касперский 11 лицензия установлен

Подразумевается KES11? Достаточно, запустите на всех полную проверку.

 

Попутно через Company Account создайте запрос на расшифровку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...