Перейти к содержанию

Зашифрованы файлы на сетевом хранилище

amasanov
 Поделиться

Рекомендуемые сообщения

amasanov

amasanov

Опубликовано
Опубликовано

Здравствуйте.Внезапно обнаружил, что зашифрована большая часть файлов на сетевом хранилище.При этом на основном компьютере проблем не обнаружено.Наименование файлов поменялось на "{исходное имя}[weghu2ou@secmail.pro].CC"В каталогах появился файл с наименованием "!!!НАСЧЕТ_ФАЙЛОВ_ПИШИТЕ_НА__(weghu2ou@secmail.pro).txt.[weghu2ou@secmail.pro]".Сканирование компьютера с помощью CureIt ничего заметного не выдала.Сканирование диска хранилища выявило заражение выполняемых файлов Win32.Gael.3666.(Замечу, что выполняемые файлы чисто хранились, не запускались.)Пример приложил. Ужался сильно... Не к добру ведь?з.ы. почти весь фотоархив :(

логи

пример.zip

CollectionLog-2019.05.23-21.25.zip

mike 1

mike 1

Опубликовано
Опубликовано

Какое сетевое хранилище используется?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

 

 

Хранилищу WD MyBook Live Duo.

 

 

 

Farbar запустил, пока работает.

 

 

 

Теперь вопрос чуть сбоку. А реально ли файлы зашифрованы? Внутри же вроде просто нули?

 

Я переписываюсь с этим "человеком". В качестве доказательства он прислал несколько файлов - фоток реальных, правильных.

 

Является ли это подтверждением зашифровки - но это значит, что он по прежнему имеет доступ к диску?

 

Или как вариант - он себе слил содержимое диска?

 

Я бы в общем даже заплатил... коль уж оказался лохом. Если сумма не слишком велика. Но тут вопрос гарантий...

 

p.s. Получил ещё рекомендацию до оплаты отключить диск. На после оплаты обещается прислать прогу, которую нужно запустить при отключённом интернете.

Результаты farbar прикладываю.

A cureit теперь нашёл MBR со словами DISK:SUSPICIOUS.FakedMBR.1. Вылечить не смог.

Addition.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте TDSSkiller. Запустите программу из командной строки с ключами

-qboot -qmbr

 

Найдите на диске С папку с карантином утилиты, заархивируйте с паролем virus и прикрепите архив к следующему сообщению

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

tdss - это по вопросу с MBR?

Ничего не создаётся в папке с карантином (на всякий случай указывал явный путь в командной строке).

Повторный прогон Cureit ничего не выявил, впрочем.

thyrex

thyrex

Опубликовано
Опубликовано

Да, речь про MBR. Значит что-то делаете не так, если папка с карантином пуста.

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

Прикладываю карантин tdss.

Но вроде он ничего не нашёл.

 

222.zip

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

В общем за отсутствием вариантов подсказок - заплатил денег. 15-ку. И впустую.

Чел прислал ссылку днём, с работы я открыть её не мог - у нас закрыто всё что можно.

Вечером ссылка не пашет.

Промурыжил все выхи "завтраками".

Вчера написал, что "антивирус уничтожил часть программы. Так как планировали не выходит, думаем о вариантах и т.д."

Чуть-чуть файлов опять выложил.

Потом написал, что единственный выход - "прямая заливка". Видимо намекает, что архив слил перед порчей.

Ну и конечно же нужно доплатить. Тухляк.

Да и не верится уже. Слить терабайт просто чтобы так у себя повалялся?

Денег жалко, но по сравнению с потерянным фотоархивом за кучу лет - мура. Мда.

 

По описанию проблемы добавлю:

В некоторых каталогах помимо файла с новым именем  - остались файлы с оригинальным именем, но нулевого размера.

Может быть какое-то хитрое удаление? Попробовать пройтись восстанавливальщиками или смысла нет?


Да и самое главное - как предотвратить такое в будущем?

То, что не затронуты файлы на компьютере и подсоединённом по firewire внешнем жёстком диске с другим куском архива - означает ли что атаке подвергся только NAS?

Или всё равно дело было в компьютере - просто так сложилось?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Константин Нездиминов
      Зашифрованы разделы
      Автор Константин Нездиминов
      Здравствуйте! В локальную сеть организации попал шифровальщик.  Шифрует только системный раздел с установленной ОС. Загрузочный раздел и раздел восстановления не зашифрованы.
      Никаких требований выкупа нет. Есть образ частично зашифрованного диска на 256 ГБ, если понадобится(первые 70 ГБ зашифрованы, дальше процесс почему-то прервался).
      Можно ли как нибудь помочь?
      Спасибо большое!
      Сделал копию первых 2000000 секторов и последних 2000000 секторов полностью зашифрованного диска в файл виртуального диска(https://dropmefiles.com/yWfs8)
    • Konsta812
      Зашифрованные файлы с расширением 89vINnQSL
      Автор Konsta812
      Здравствуйте!
      Пожалуйста, помогите с расшифровкой файлов.
      Пользователем по невнимательности был запущен файл из письма.
      Сработал шифровальщик, после чего зашифрованные файл получили расширение 89vINnQSL
      Заранее признателен за любую помощь! 
    • Moritto
      Шифровальщик ixvB60I6b
      Автор Moritto
      Зашифровались все файлы на ноутбуке - файлы стали с расширением ixvB60I6b, а также сервер. Помогите, пожалуйста, вернуть файлы
      Addition.txt FRST.txt
    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
×
×
  • Создать...