Перейти к содержанию

Рекомендуемые сообщения

Поймали шифровальщика через удаленный доступ, система Windows Server 2008 R2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите как мне прикрепить данные автологера? Тут 5 мб только можно?

 

Сори, папку с самим логером прикладывал. Во вложении результаты его работы.

CollectionLog-2020.05.09-17.01.zip

 

В архив не добавляется файл, прикладываю в чистом виде один из зашифрованных файлов.

Images_2017-10-05.csv.id-126F1D8A.[3441546223@qq.com].ncov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Расшифровки нет ни в одной антивирусной компании. Можем только зачистить следы мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гора администраторов в системе. Не удивительно, что одного из них вскрыли, подобрав пароль к RDP.

Цитата

admin (S-1-5-21-1787781901-1590571576-3740444787-1003 - Administrator - Enabled) => C:\Users\admin
denigroup1 (S-1-5-21-1787781901-1590571576-3740444787-1037 - Administrator - Enabled) => C:\Users\denigroup1
denigroup2 (S-1-5-21-1787781901-1590571576-3740444787-1038 - Administrator - Enabled) => C:\Users\denigroup2
denigroup3 (S-1-5-21-1787781901-1590571576-3740444787-1039 - Administrator - Enabled) => C:\Users\denigroup3
denigroup4 (S-1-5-21-1787781901-1590571576-3740444787-1041 - Administrator - Enabled) => C:\Users\denigroup4
manager11 (S-1-5-21-1787781901-1590571576-3740444787-1025 - Administrator - Enabled) => C:\Users\manager11
manager13 (S-1-5-21-1787781901-1590571576-3740444787-1027 - Administrator - Enabled) => C:\Users\manager13
Missodri CRM (S-1-5-21-1787781901-1590571576-3740444787-1036 - Administrator - Enabled) => C:\Users\Missodri CRM
Prices (S-1-5-21-1787781901-1590571576-3740444787-1035 - Administrator - Enabled) => C:\Users\Prices
Администратор (S-1-5-21-1787781901-1590571576-3740444787-500 - Administrator - Enabled) => C:\Users\Администратор

 

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2020-05-09 11:14 - 2020-05-09 11:14 - 000000168 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-05-09 11:14 - 2020-05-09 11:14 - 000000168 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-09 11:14 - 2020-05-09 11:14 - 000000168 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-05-09 11:14 - 2020-05-09 11:14 - 000000168 _____ C:\FILES ENCRYPTED.txt
2020-05-09 10:56 - 2018-10-09 20:08 - 000128000 _____ C:\Users\denigroup4\Documents\NS.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот. Перезапустился он сам. Я снова зашел через удаленный доступ, прямого доступа нет пока к машине, к вечеру будет только.

Fixlog.txt

 

 

Какие действия мне предпринимать? Есть какая-то надежда расшифровать данные?

Изменено пользователем Addy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Еще в сообщении #3 я написал, что расшифровки нет ни в одной антивирусной компании. Больше помочь нечем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От BkmzCv
      Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 
      На компе появился зловред и большую часть файлов переименовал. 
      История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 
      Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 
      Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip
    • От shurban4ik
      возможно была попытка заражения компьютера шифровальщиком. из следов остался файлик пытаюсь понять вирус или не вирус.
      tempkey.teslarvngkeys
    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
×
×
  • Создать...