Перейти к содержанию

зашифровало файлы на сервере [veracrypt@foxmail.com].adobe

Mars70
 Поделиться

Рекомендуемые сообщения

Mars70

Mars70

Опубликовано
Опубликовано

Добрый день, та же беда, в пятницу проник вирус, даже Касперский 11 лицензия корпоративная не помог...помогите расшифровать данные?


https://drive.google...5CJ00u6qgtTF0Qw- ссылка на логи


https://drive.google...sAJP0rrvLjUvK0e


https://drive.google...om9pG_gUxXnfaUL


 

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Утилитами Касперского проверил сервер, угроз никаких не нашел, зашифрован диск Д, файлы .doc, .excel, .xml, .dbf и т.д.

Логи снял Autologger-ом, выложил выше по ссылке 1, 2 и 3 ссылка, это текстовый документ(отчет) программы FRST.

 

Вирус прилетел по почте, пришло сообщение от сотрудника со сканом в формате .jpeg, после того, как сотрудник открыл почту и сохранил картинку на свой рабочий стол, минут через 10 данные на сервере зашифровались. Не исключаю момент, что вирус проник через подключение RDP. Но, по RDP никто не подключался давно уже к этому серверу.

 

Корпоративная лицензия на 80 устройств куплена.

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Логи прикрепляйте к сообщению через Расширенную форму.

2. Логи сделаны в терминальной сессии, сделайте их из консоли.

3. Вы собрали CollectionLog очень устаревшей версией, скачайте по ссылке из правил актуальную и переделайте.

 

Расшифровки этой версии вымогателя нет. На всякий случай создайте запрос на расшифровку.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Запрос от корпоративного аккаунта сделал. Подскажите пожалуйста, как делать логи из консоли, я не нашёл информации.

 

Новый autologger скачал.

Sandor

Sandor

Опубликовано
Опубликовано

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

Подразумевается непосредственно на компьютере, а не через терминальное подключение.

просто это на сервере зашифровало данные, с него запустить напрямую нет возможности, я подключался по RDP и через shift+OK запускал autologger.

есть какие-то другие варианты еще?

 
добавил логи с новой версии программы автологгер, подключался по RDP

CollectionLog-2019.04.30-16.35.zip

Изменено пользователем Mars70
Sandor

Sandor

Опубликовано
Опубликовано

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

подключался по RDP

По логам видно

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Соберите логи через хотя бы через TeamViewer.

 

На сервере смените пароли на RDP подключения.

 

 

Получилось только так выполнить...

CollectionLog-2019.05.02-09.44.zip

Sandor

Sandor

Опубликовано
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Чем этот вариант отличается от предыдущего?

 

Сделайте так:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

CALL-CENTER_2019-05-02_10-20-43_v4.1.4.7z

Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

Не знаю, может ли помочь это, я могу выгрузить один файл зашифрованный, второй будет оригинал.

Sandor

Sandor

Опубликовано
Опубликовано

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано (изменено)

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

пароль сменили, проблема в том, что через тимвьювер не происходит захват видео...не могу понять почему...

Изменено пользователем Mars70
Mars70

Mars70

Опубликовано
  • Автор
Опубликовано

 

могу выгрузить один файл зашифрованный, второй будет оригинал

К сожалению, это не поможет.

 

Повторю еще раз, на сервере установлен TeamViewer. Через него вы можете подключиться и собрать отчеты Автологером?

Диагностика и лечение через терминальное подключение (удаленный рабочий стол или RDP) не эффективны.

 

На сервере смените пароли на RDP подключения.

Сменили?

 

подскажите, а как проверить ПК, не заражены ли они? какой именно утилитой? 

касперский 11 лицензия установлен, чем еще можно прогнать?

Sandor

Sandor

Опубликовано
Опубликовано

касперский 11 лицензия установлен

Подразумевается KES11? Достаточно, запустите на всех полную проверку.

 

Попутно через Company Account создайте запрос на расшифровку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
×
×
  • Создать...