Перейти к содержанию

Рекомендуемые сообщения

Несколько компьютеров в сети пострадали от действия шифровальщика. На компьютерах настроены общие папки и все файлы в этих папках теперь зашифрованы. Файлы теперь называются так "Расшифровка_коммунальные - Смарт.xlsx.[servicemanager@yahooweb.co].coka" Выделил красным то, что дописал шифровальщик.

Комп источник я думаю выявил, так как один из компьютеров не смогли включить, так как пароль на вход в систему перестал подходить. Создал загрузочную флешку с линуксом, зашел на жеский и там практически все файлы зашифрованы. Так как не могу попасть на комп источник, то соотвественно не понимаю, как мне приложить хоть какие то логи. 

В каждой паке кроме того появился дополнительный файлик с таким текстом

 

Цитата

To recover data, write here:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (if you are Russian, then you need to register on the site www.protonmail.com through the TOR browser
(https://www.torproject.org/ru/download/) , since the proton is prohibited in your country)
3) Jabber client - servicemanager@jabb.im (registration can be done on the website -www.xmpp.jp. web client is located on the site - https://web.xabber.com/)

Do not modify files - this will damage them.
Test decryption - 1 file < 500 Kb.

 

Прикрепил архив с примером зашифрованного файла и оригинал (на одном из компов делался постоянный бэкап). Что ещё приложить не знаю.

Расшифровка_коммунальные - Смарт.xlsx.[servicemanager@yahooweb.co].zip Расшифровка_коммунальные - Смарт.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добавил записку. Как получить логи не понимаю.  Я не могу попасть в систему в которой находится вирус

ReadMe_Decryptor.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По ссылке на создание логов есть и способ их создания для незагружающейся системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я получил ещё информации и не много изменю ситуацию. 

Стояло 2 компа. На одном была база данных 1С в расшаренной папке, а на втором настроили RDP, при этом пароль на вход в комп был 1. В итоге рдп комп, подхватил заразу и зашифровал все базы 1С, а остальные файлы не тронул, так как системой доступ к ним ограничен. Потом на ретьем компе появился другой шифровальщик (о котором я написал в другой теме) и заблокировал базы 1с по второму разу. По итогу ситуация сложилась такая. На комп первоисточникмне плевать, я могу там всё форматнуть и всё. Второй зараженный комп очень важно восстановить, но это другая тема, обсуждение там. И Самое главное, мне критически важно восстановить залоченные базы, потому что там очень много важной информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вынужден огорчить - с расшифровкой ничего не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, thyrex сказал:

Вынужден огорчить - с расшифровкой ничего не получится.

Это прямо максимально плохо... А можете дать совет хотя бы, перед закрытием темы. Есть сайты которые предлагают расшифровку после таких вот проблем, к примеру market-gg . ru (не хочу делать ссылкой, вдруг нельзя). И судя по условиям вроде как всё честно. отправляю им базу 1с, они пробуют расшифровать. Получилось платим деньги (после проверки) и получаем базу, не получилось просто расходимся. Я не могу понять в чем подвох если вы говорите, что расшифровке не подлежит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У самих злодеев или посредников, которые в доле с ними, она есть. Но при этом и цена после расшифровки посредниками вырастает в разы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аааааа, понял... То есть по факту, если мне скажут, что они в состоянии расшифровать, я могу сделать вывод, что они приобрели ключ расшифровки у создателей вируса? И мне придётся решать (откинув моральную сторону), стоят ли мои базы тех денег, которые за них просят. Верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От BkmzCv
      Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 
      На компе появился зловред и большую часть файлов переименовал. 
      История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 
      Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 
      Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip
    • От shurban4ik
      возможно была попытка заражения компьютера шифровальщиком. из следов остался файлик пытаюсь понять вирус или не вирус.
      tempkey.teslarvngkeys
    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
×
×
  • Создать...