Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик *.acton

SirAlex
 Share Подписчики 1

Рекомендуемые сообщения

SirAlex

SirAlex 0

Опубликовано
Опубликовано

Добрый день.
Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика. 
Явного источника шифрования не обнаружено. Предшествовала установка  специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
Некоторых файлов сохранились резервные копии на сторонних ресурсах.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Вход по RDP - именно так к Вам проникли.

С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.

Ссылка на сообщение
Поделиться на другие сайты
SirAlex

SirAlex 0

Опубликовано
  • Автор
Опубликовано

Вход по RDP - именно так к Вам проникли.

 

С расшифровкой помочь не сможем.

При наличии действующей лицензии на любой из продуктов компании создайте запрос.

Благодарю. Очень полезная наводка.

Было пользование удалённого рабочего стола с андроид планшета и с других устройств.

Как  Вам удалось выяснить?  Можно ли определить имя устройства или другие уточняющие данные? 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

 

 


Как  Вам удалось выяснить?  Можно ли определить имя устройства или другие уточняющие данные? 
Ну раз сами ничего не запускали, способствующего шифрованию, то и догадаться нетрудно, как зараза могла попасть. Тем более это самый распространенный в последнее время способ. Какие-либо уточняющие данные я точно не смогу сообщить
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Justbox
      Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...