Перейти к содержанию

Шифровщик [Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade

ofstd
 Share

Рекомендуемые сообщения

ofstd Новичок

ofstd

Опубликовано
Опубликовано

Добрый день. Прогулялась по сети вот такая гадость. Сообщений о выкупе и подобных файлов не обнаружено. 

Прикладываю образцы и результаты сканирования. 

Даже не получилось понять что именно это за штука.

 

Извиняюсь за размеры образцов, тяжело найти маленькие файлы.

образцы:
https://cloud.mail.ru/public/vPpi/3LVdq1uVJ

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
ofstd Новичок

ofstd

Опубликовано
  • Автор
Опубликовано

Спасибо что помогли идентифицировать.

Пока непонятно откуда именно это полезло, можно ли как-то идентифицировать где это началось?

Остановить распространение подобного?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Судя по времени шифрования - вход по RDP. Возможно даже был взлом какого-то другого компьютера в сети организации, имеющего доступ к серверу. И уже с него добрались до сервера. Пароль смените.

 

Если файл C:\Users\Гость\Desktop\dwm.exe Вам не известен, проверьте его на virustotal.com и пришлите ссылку на результат проверки.

TeamViewer сами устанавливали?

Ссылка на комментарий
Поделиться на другие сайты
ofstd Новичок

ofstd

Опубликовано
  • Автор
Опубликовано

Доступ не только у меня, но склоняюсь что тимвивер был со стороны установлен. + дата его установки совпадает с датой dwm.exe

 

Остается открытым вопрос, как можно обезопасить выжившие файлы и быть уверенным что они не представляют угрозы? С настройками системы разберемся, ну в плане безопасности.

Снимок.PNG

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • evgeny_f
      Шифровальщик Mail-[mammoncomltd@gmail.com]ID-[L5Y80R37X4].lock и lock.v2
      От evgeny_f
      Addition.txtVirus.rarREAD.txtFRST.txt
       
      Здравствуйте. 8 сентября были зашифрованы файлы на сервере с 1с. Копии баз на этой же машине на другом диске. Тоже зашифрованы. Помогите пожалуйста!
    • e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      От e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      1 сервер и 3 локальных машины
      файл nn.exe приложил скрин: photo_2024-07-23_07-32-31.jpg

      Addition.txt FRST.txt information.txt
×
×
  • Создать...