Перейти к содержанию
Авторизация  
crin

Поймали непонятного шифровальщика. Есть шансы на расшифровку?

Рекомендуемые сообщения

Добрый день,

Шифровальщик, судя по дате, отработал в нерабочее время, т.е. вроде никто ничего не запускал. Источник пока не нашли.


Шифровальщик также смог достучаться до сетевой папки, НЕ подключенной в качестве диска. По дате изменений обнаружили, что шифровать начало именно с неё, в ней же, в самой первой папке появился файл 37 мегабайт, закамуфлированный под xlsx файл, а также на один килобайт изменился размер одного jpg изображения.

Бэкапы сработали хорошо, поэтому наши потери от шифровальщика минимальные: придется переустановить винду на зараженном компе. При этом есть 100 гигабайт шифрованной информации и её незашифрованной копии. На файл 37 Мб подозрение, что это что-то типа базы данных ключей шифрования для файлов, а в файлик изображения, вероятно, еще один ключ впихнули.  Если нужно для анализа - можем предоставить.

Резервирование товара - инструкция.docxscratch99@protonmail.com_sel11739585976-1577632703.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Один из последних вариантов Cryakl. Расшифровки нет. Основной путь попадания на компьютер - удаленный вход по RDP в нерабочее время после брута пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Один из последних вариантов Cryakl. Расшифровки нет. Основной путь попадания на компьютер - удаленный вход по RDP в нерабочее время после брута пароля.

Понял, спасибо, будем мучить микротик и по возможности создавать VPN

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От BkmzCv
      Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 
      На компе появился зловред и большую часть файлов переименовал. 
      История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 
      Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 
      Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip
    • От shurban4ik
      возможно была попытка заражения компьютера шифровальщиком. из следов остался файлик пытаюсь понять вирус или не вирус.
      tempkey.teslarvngkeys
    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
×
×
  • Создать...