Arhantropx 0 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Здравствуйте! Поймали шифровщика, имена файлов приняли вид *.[ferrlock@cock.li].yoba. Первопричина - по всей видимости письмо, хотя вариант с RDP тоже не могу исключить. Зацепило файлы на локальном компе, и частично затронуло на шаре (есть и зашифрованые файлы и их оригиналы). ESET отработал, вот его лог: ESET: Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimilib.dll;модифицированный Win64/Riskware.Mimikatz.U приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B15FD940FB244CB030BD19E53A74AAA656215A61;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimikatz.exe;модифицированный Win64/Riskware.Mimikatz.D приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;BCD703932C9BEDE27659407E458AE103D0B4CC88;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\x64\mimidrv.sys;модифицированный Win64/Riskware.Mimikatz.I приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C42178977BD7BBEFE084DA0129ED808CB7266204;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilove.exe;модифицированный Win32/RiskWare.Mimikatz.P приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;9AD902B8E0DF0DF6D3C67C3E05CD9E8202695E13;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimilib.dll;модифицированный Win32/RiskWare.Mimikatz.J приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;7A93B77707A493DE042D699CE7486054636584E9;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\Win32\mimikatz.exe;модифицированный Win32/RiskWare.Mimikatz.E приложение;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;D0B710FB6CAE626D8570D4457DB1E47262DC76CC;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\tosenderbuild.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;E9088C32F955EBA6E7CD74E4F3DBB21F67E26B17;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx86.exe;модифицированный Win32/TrojanDownloader.Agent.DMC троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;B3423B5D096CF915019CD8D7C994CF9919523901;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\exp\CVEx64.exe;Win64/Exploit.CVE-2017-0213.A троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;C8CEE35F713031CA109DFFAE4FBEDE766D427E08;Защита в режиме реального времени;файл;C:\Users\***\Desktop\444\del service.bat;BAT/Agent.OPN троянская программа;очищен удалением;***\***;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (89A175A12BC20104770D0EF83E553F8B0E06274B).;8B77E8888276C8CE99746A7C0D5CA3F93EA9DEE8; После этого Kaspersky VRT и DrWeb уже ничего не нашли. emisoft предложил утилиту, но не помогла. Логи во вложении. Прошу навести на возможный путь восстановления файлов. CollectionLog-2019.09.25-10.01.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Здравствуйте! С восстановлением пока неясно. В тех-поддержку антивируса обращались? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Arhantropx 0 Опубликовано 25 сентября, 2019 Автор Share Опубликовано 25 сентября, 2019 @Sandor, В ТП все отправил, ждем ответа. Отчеты FRST в приложении. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению. В ТП все отправил, ждем ответаЗдесь тоже сообщите ответ, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Arhantropx 0 Опубликовано 25 сентября, 2019 Автор Share Опубликовано 25 сентября, 2019 Один из файлов !=How_recovery_files=!.txt вместе с парой-тройкой небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению. В приложении. Зашифрованные файлы и оригинальная копия. Здесь тоже сообщите ответ, пожалуйста. Обязательно. Crypted.7z Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset? Ссылка на сообщение Поделиться на другие сайты
Arhantropx 0 Опубликовано 25 сентября, 2019 Автор Share Опубликовано 25 сентября, 2019 Desktop\444\tosenderbuild.exe - возможно восстановить из карантина Eset? Нет, удален, минуя карантин. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Увы, без тела самого шифратора сказать что-то определенное трудно. Ссылка на сообщение Поделиться на другие сайты
Максим Купресов 0 Опубликовано 5 октября, 2019 Share Опубликовано 5 октября, 2019 Добрый день! Вопрос не решился? у меня произошло то-же самое. Точно через RDP Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 5 октября, 2019 Share Опубликовано 5 октября, 2019 @Максим Купресов,создавайте свою тему, а не пишите в чужой Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения