voidcrypt Шифровщик [Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade

[ofstd]

Добрый день. Прогулялась по сети вот такая гадость. Сообщений о выкупе и подобных файлов не обнаружено. 

Прикладываю образцы и результаты сканирования. 

Даже не получилось понять что именно это за штука.

 

Извиняюсь за размеры образцов, тяжело найти маленькие файлы.

образцы:
https://cloud.mail.ru/public/vPpi/3LVdq1uVJ

Addition.txt FRST.txt

[thyrex]

Цитата

C:\ProgramData\pubk.txt
C:\ProgramData\IDk.txt

прикрепите к следующему сообщению

 

 

[ofstd]

IDk.txt pubk.txt

[thyrex]

Увы, с расшифровкой помочь не сможем.

 

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

[ofstd]

Спасибо что помогли идентифицировать.

Пока непонятно откуда именно это полезло, можно ли как-то идентифицировать где это началось?

Остановить распространение подобного?

[thyrex]

Судя по времени шифрования - вход по RDP. Возможно даже был взлом какого-то другого компьютера в сети организации, имеющего доступ к серверу. И уже с него добрались до сервера. Пароль смените.

 

Если файл C:\Users\Гость\Desktop\dwm.exe Вам не известен, проверьте его на virustotal.com и пришлите ссылку на результат проверки.

TeamViewer сами устанавливали?

[ofstd]

Доступ не только у меня, но склоняюсь что тимвивер был со стороны установлен. + дата его установки совпадает с датой dwm.exe

 

Остается открытым вопрос, как можно обезопасить выжившие файлы и быть уверенным что они не представляют угрозы? С настройками системы разберемся, ну в плане безопасности.

[thyrex]

Я просил ссылку, а не скриншот.

 

dwm.exe можете удалить, TeamViewer деинсталлируйте. 

[ofstd]

Прошу прощения за невнимательность.
dwm и tv снес.

https://www.virustotal.com/gui/file/af7381905a46ef4fd2f5fcd907a0fb9c61888522b875fc16a31468a960676d6b/detection