crysis Шифровальщик openpgp@foxmail.com

[r3d1]

Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.

Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

avz_log.txtПолучение информации... CollectionLog-2020.07.02-17.07.zipПолучение информации... report1.logПолучение информации... report2.logПолучение информации...

Изменено 2 июля, 2020 пользователем r3d1

[thyrex]

По съемным носителям не передается.

А вот правила создания запроса в разделе другие. Их и нужно выполнить.

[r3d1]

Добрый день, прошу прощения не там правила посмотрел, проблема что файл с просьбой видимо был в папке пользователя которую затерли, восстанавливать с помощью програм имеет смысл? Прилагаю логи, и файл вируса который заблокировал антивирус

Строгое предупреждение от модератора thyrex

Не нужно прикреплять вирусы

 

  FRST.txtПолучение информации... Addition.txtПолучение информации...

файлы.rarПолучение информации...

[r3d1]

Прошу прощения, думал тот архив тоже надо было прикрепить

[thyrex]

SpyHunter 4 удалите через Установку программ.

 

  Цитата

Админ (S-1-5-21-2591610697-3891364329-281300777-1001 - Administrator - Enabled) => C:\Users\Админ
Администратор (S-1-5-21-2591610697-3891364329-281300777-500 - Administrator - Enabled)

Показать  

Даже встроенного Администратора почему-то не отключили.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2646322724-376202264-2636945452-500\...\MountPoints2: {a4fe49c1-b125-11ea-bc78-00d86135b663} - "H:\SISetup.exe" 
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[r3d1]

spyhunter не дает удалить uninstaller.dat зашифрован? т.е получается если единственный компьютер в сети был заражен, то текущая сеть сейчас может функционировать нормально, без этого компьютера? или он мог по сети на другие устройства? хотя там вроде признаков нет, только общие папки частично зашифровались

Fixlog.txtПолучение информации...

[thyrex]

Шифровальщик только шифрует все, куда смог дотянуться. Но по сети исполняемые файлы шифратора не передаются.

[r3d1]

Понял, спасибо, какие дальнейшие действия?

[thyrex]

Расшифровки нет. Пароль от RDP смените и вообще скройте RDP за VPN.

[r3d1]

Да RDP закрыл вообще пока временно, после Fixlog.txt, действия дальше требуются? или как убедиться что шифровальщик "пал"?

[thyrex]

Если шифратор был найден именно на этой машине, тогда на этом можно и закончить. Только вот пользователя server я в логах не наблюдаю.

[r3d1]

я предполагаю что только на 1, потому что на других компьютерах зашифрованы только общие папки, документы без общего доступа не пострадали, а на этом компьютере зашифровало 80% информации вне зависимости расшарена папка или нет. Папка пользователя была удалена, может поэтому?

[thyrex]

Тогда на этом закончим.