Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

зашифровало файлы на сервере [veracrypt@foxmail.com].adobe

Mars70
 Поделиться

Рекомендуемые сообщения

Mars70

Mars70

Опубликовано
Опубликовано

Добрый день, та же беда, в пятницу проник вирус, даже Касперский 11 лицензия корпоративная не помог...помогите расшифровать данные?


https://drive.google...5CJ00u6qgtTF0Qw- ссылка на логи


https://drive.google...sAJP0rrvLjUvK0e


https://drive.google...om9pG_gUxXnfaUL


 

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Утилитами Касперского проверил сервер, угроз никаких не нашел, зашифрован диск Д, файлы .doc, .excel, .xml, .dbf и т.д.

Логи снял Autologger-ом, выложил выше по ссылке 1, 2 и 3 ссылка, это текстовый документ(отчет) программы FRST.

 

Вирус прилетел по почте, пришло сообщение от сотрудника со сканом в формате .jpeg, после того, как сотрудник открыл почту и сохранил картинку на свой рабочий стол, минут через 10 данные на сервере зашифровались. Не исключаю момент, что вирус проник через подключение RDP. Но, по RDP никто не подключался давно уже к этому серверу.

 

Корпоративная лицензия на 80 устройств куплена.

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Логи прикрепляйте к сообщению через Расширенную форму.

2. Логи сделаны в терминальной сессии, сделайте их из консоли.

3. Вы собрали CollectionLog очень устаревшей версией, скачайте по ссылке из правил актуальную и переделайте.

 

Расшифровки этой версии вымогателя нет. На всякий случай создайте запрос на расшифровку.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Запрос от корпоративного аккаунта сделал. Подскажите пожалуйста, как делать логи из консоли, я не нашёл информации.

 

Новый autologger скачал.

Sandor

Sandor

Опубликовано
Опубликовано

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

просто это на сервере зашифровало данные, с него запустить напрямую нет возможности, я подключался по RDP и через shift+OK запускал autologger.

есть какие-то другие варианты еще?

 
добавил логи с новой версии программы автологгер, подключался по RDP

CollectionLog-2019.04.30-16.35.zip

Изменено пользователем Mars70
Sandor

Sandor

Опубликовано
Опубликовано

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

 

 

Получилось только так выполнить...

CollectionLog-2019.05.02-09.44.zip

Sandor

Sandor

Опубликовано
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

CALL-CENTER_2019-05-02_10-20-43_v4.1.4.7z

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Не знаю, может ли помочь это, я могу выгрузить один файл зашифрованный, второй будет оригинал.

Sandor

Sandor

Опубликовано
Опубликовано

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

пароль сменили, проблема в том, что через тимвьювер не происходит захват видео...не могу понять почему...

Изменено пользователем Mars70
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

подскажите, а как проверить ПК, не заражены ли они? какой именно утилитой? 

касперский 11 лицензия установлен, чем еще можно прогнать?

Sandor

Sandor

Опубликовано
Опубликовано

касперский 11 лицензия установлен

Подразумевается KES11? Достаточно, запустите на всех полную проверку.

 

Попутно через Company Account создайте запрос на расшифровку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...