Перейти к содержанию

Зашифрованы файлы на сетевом хранилище

amasanov
 Поделиться

Рекомендуемые сообщения

amasanov

amasanov

Опубликовано
Опубликовано

Здравствуйте.Внезапно обнаружил, что зашифрована большая часть файлов на сетевом хранилище.При этом на основном компьютере проблем не обнаружено.Наименование файлов поменялось на "{исходное имя}[weghu2ou@secmail.pro].CC"В каталогах появился файл с наименованием "!!!НАСЧЕТ_ФАЙЛОВ_ПИШИТЕ_НА__(weghu2ou@secmail.pro).txt.[weghu2ou@secmail.pro]".Сканирование компьютера с помощью CureIt ничего заметного не выдала.Сканирование диска хранилища выявило заражение выполняемых файлов Win32.Gael.3666.(Замечу, что выполняемые файлы чисто хранились, не запускались.)Пример приложил. Ужался сильно... Не к добру ведь?з.ы. почти весь фотоархив :(

логи

пример.zip

CollectionLog-2019.05.23-21.25.zip

mike 1

mike 1

Опубликовано
Опубликовано

Какое сетевое хранилище используется?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

 

 

Хранилищу WD MyBook Live Duo.

 

 

 

Farbar запустил, пока работает.

 

 

 

Теперь вопрос чуть сбоку. А реально ли файлы зашифрованы? Внутри же вроде просто нули?

 

Я переписываюсь с этим "человеком". В качестве доказательства он прислал несколько файлов - фоток реальных, правильных.

 

Является ли это подтверждением зашифровки - но это значит, что он по прежнему имеет доступ к диску?

 

Или как вариант - он себе слил содержимое диска?

 

Я бы в общем даже заплатил... коль уж оказался лохом. Если сумма не слишком велика. Но тут вопрос гарантий...

 

p.s. Получил ещё рекомендацию до оплаты отключить диск. На после оплаты обещается прислать прогу, которую нужно запустить при отключённом интернете.

Результаты farbar прикладываю.

A cureit теперь нашёл MBR со словами DISK:SUSPICIOUS.FakedMBR.1. Вылечить не смог.

Addition.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте TDSSkiller. Запустите программу из командной строки с ключами

-qboot -qmbr

 

Найдите на диске С папку с карантином утилиты, заархивируйте с паролем virus и прикрепите архив к следующему сообщению

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

tdss - это по вопросу с MBR?

Ничего не создаётся в папке с карантином (на всякий случай указывал явный путь в командной строке).

Повторный прогон Cureit ничего не выявил, впрочем.

thyrex

thyrex

Опубликовано
Опубликовано

Да, речь про MBR. Значит что-то делаете не так, если папка с карантином пуста.

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

Прикладываю карантин tdss.

Но вроде он ничего не нашёл.

 

222.zip

amasanov

amasanov

Опубликовано
  • Автор
Опубликовано

В общем за отсутствием вариантов подсказок - заплатил денег. 15-ку. И впустую.

Чел прислал ссылку днём, с работы я открыть её не мог - у нас закрыто всё что можно.

Вечером ссылка не пашет.

Промурыжил все выхи "завтраками".

Вчера написал, что "антивирус уничтожил часть программы. Так как планировали не выходит, думаем о вариантах и т.д."

Чуть-чуть файлов опять выложил.

Потом написал, что единственный выход - "прямая заливка". Видимо намекает, что архив слил перед порчей.

Ну и конечно же нужно доплатить. Тухляк.

Да и не верится уже. Слить терабайт просто чтобы так у себя повалялся?

Денег жалко, но по сравнению с потерянным фотоархивом за кучу лет - мура. Мда.

 

По описанию проблемы добавлю:

В некоторых каталогах помимо файла с новым именем  - остались файлы с оригинальным именем, но нулевого размера.

Может быть какое-то хитрое удаление? Попробовать пройтись восстанавливальщиками или смысла нет?


Да и самое главное - как предотвратить такое в будущем?

То, что не затронуты файлы на компьютере и подсоединённом по firewire внешнем жёстком диске с другим куском архива - означает ли что атаке подвергся только NAS?

Или всё равно дело было в компьютере - просто так сложилось?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Уралмазсервис
      Файлы зашифрованы
      Автор Уралмазсервис
      Добрый день. Открыла письмо с вирусом, который просит отправить код для расшифровки файлов.
      Скачала утилиту AVZ, запустила, для завершения надо было перезапустить комп, но он не включился . На черном экране : NTLDR is missing Что делать??:
    • dog5542
      Шифровальщик ONION
      Автор dog5542
      Добрый день. У моей соседки приключилась беда, поймала она этот самый вирус с подписью onion. Попал он к ней еще 11 мая, по ее словам ей пришло письмо из США, она его открыла и после этого у нее перестали работать все браузеры. Ноут она мне принесла только вчера, Вчера я и выяснил что ноут был подвержен атаке вируса-шифровальщика OPION. Ценного на ноуте особо ничего не было, кроме архива фотографий за последние лет 5. Самостоятельно я так и не смог разобраться как дешифровать все ее фотографии и возможно ли это вообще, поэтому и решил обратится на этот форум. Касперским ноут проверил, лог сделал и к этому сообщению прикрепляю. Надеюсь на любую помощь в раскодировании фотоархива. P.S. Если на данный момент нет способов раскодировать файлы, то можно ли их как-то сохранить на будущее и надеяться что рано или поздно будет придуман способ который позволит декодировать файлы подверженные данному вирусу.
      CollectionLog-2017.05.22-16.02.zip
    • Johnny_123124
      Зашифровались файлы на пк
      Автор Johnny_123124
      Здравствуйте! Очень нужна ваша помощь. 26.04.2017 в 10 утра на пк проник вирус (где поймал сказать не могу так как не я ловил), зашифровал практически все, а главное фото и видео важные для меня, и создал много блокнотов, содержание приведу ниже. 
      В имени всех поврежденных файлов появилась строка: id_454864193_2irbar3mjvbap6gt.onion.to._
       
      Проверил пк всевозможными: 
      Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. Malwarebytes И многим другим (уже не вспомню чем именно)  Вирусы и сомнительные программы были (не догадался записать какие именно) 
       
      27.04.2017 Dr.Web Curelt нашел еще trojan.installcore.2896
       
      Перепробовал всевозможные утилиты по расшифровке но ничего не помогло.
       
      Не знаю избавился ли от вируса окончательно.
       
      Надеюсь, что все сделал правильно.
       
       
      Имя блокнота, что появился на пк:
       
      _DECRYPT_MY_FILES.txt
       
      Текст блокнота, что появился на пк:
       
      *** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***   To decrypt your files you need to buy the special software. To recover data, follow the instructions! You can find out the details/ask questions in the chat: https://kgjzsyyfgdm4zavx.onion.to(not need Tor)   You ID: 454864193   If the resource is not available for a long time, install and use the Tor-browser: 1. Run your Internet-browser 2. Enter or copy the address https://www.torproject.org/download/download-easy.htmlin the address bar of your browser and press key ENTER 3. On the site will be offered to download the Tor-browser, download and install it. Run. 4. Connect with the button "Connect" (if you use the English version) 5. After connection, the usual Tor-browser window will open 6. Enter or copy the address http://kgjzsyyfgdm4zavx.onionin the address bar of Tor-browser and press key ENTER 7. Wait for the site to load     // If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q       Где то предложили еще собрать инфо с помошью  FRST64, собрал, если надо выложу результаты.     CollectionLog-2017.04.27-03.26.zip
    • Flatcher
      зашифровались файлы расширение cr020801
      Автор Flatcher
      Добрый день! На компьютере открыли архив "из налоговой". Произошло заражение зашифровались все файлы. Был установлен доктор веб с актуальными базами - угрозу не детектировал. Прверка пк проведена вирус уничтожен
      CollectionLog-2017.06.07-11.56.zip
    • kosmax87
      Шифровальщик plague17
      Автор kosmax87
      Доброго дня, поймали шифровальщика plague17, есть подозрение на взлом по RDP, т.к. перед шифрованием под админской учеткой были остановлены все службы, поменяли все пароли для админов, убрали переадресацию на RDP, сервер восстанавливаем архивом. 
      Заражены были несколько серверов и компов. На всех будет переустановлена система, подскажите что еще предпринять для устранения возможности повторного шифрования. Что предпринять для того, чтобы не заразились остальные компьютеры.
      Заранее спасибо. 
      PS установлен Kaspersky endpoint security standart. (был также отключен в момент шифрования) 
      PSS Ну и может быть есть способ расшифровать... хотя бы бэкапы sql...
      KL_syscure.zip
×
×
  • Создать...