Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Шифровщик [Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade

ofstd
 Поделиться

Рекомендуемые сообщения

ofstd

ofstd

Опубликовано
Опубликовано

Добрый день. Прогулялась по сети вот такая гадость. Сообщений о выкупе и подобных файлов не обнаружено. 

Прикладываю образцы и результаты сканирования. 

Даже не получилось понять что именно это за штука.

 

Извиняюсь за размеры образцов, тяжело найти маленькие файлы.

образцы:
https://cloud.mail.ru/public/vPpi/3LVdq1uVJ

Addition.txt FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

C:\ProgramData\pubk.txt
C:\ProgramData\IDk.txt

прикрепите к следующему сообщению

 

 

ofstd

ofstd

Опубликовано
  • Автор
Опубликовано

Спасибо что помогли идентифицировать.

Пока непонятно откуда именно это полезло, можно ли как-то идентифицировать где это началось?

Остановить распространение подобного?

thyrex

thyrex

Опубликовано
Опубликовано

Судя по времени шифрования - вход по RDP. Возможно даже был взлом какого-то другого компьютера в сети организации, имеющего доступ к серверу. И уже с него добрались до сервера. Пароль смените.

 

Если файл C:\Users\Гость\Desktop\dwm.exe Вам не известен, проверьте его на virustotal.com и пришлите ссылку на результат проверки.

TeamViewer сами устанавливали?

ofstd

ofstd

Опубликовано
  • Автор
Опубликовано

Доступ не только у меня, но склоняюсь что тимвивер был со стороны установлен. + дата его установки совпадает с датой dwm.exe

 

Остается открытым вопрос, как можно обезопасить выжившие файлы и быть уверенным что они не представляют угрозы? С настройками системы разберемся, ну в плане безопасности.

Снимок.PNG

thyrex

thyrex

Опубликовано
Опубликовано

Я просил ссылку, а не скриншот.

 

dwm.exe можете удалить, TeamViewer деинсталлируйте. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qq999qq
      Зашифровано
      Автор qq999qq
      Добрый день, сегодня аналогичная ситуация. Я так понимаю расшифровать не возможно?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • RosArY
      Зашифровано ant-dec
      Автор RosArY
      Доброго времени. по открытому RDP словил трояна, теперь все пользовательские файлы зашифрованы. есть ли возможность расшифровки? есть еще и сам троян в виде ant gmail.exe и все сопутствующие ему файлы (размер архива 30Мб.)
       
      Спасибо!
      Dectryption-guide.txt KVRT.rar pkey_idk.rar Зашифрованные файлы.rar
    • E_ant
      Ant_dec шифровальщик
      Автор E_ant
      Здравствуйте. файлы на сервере были защифрованы в формате ant_dec, прикладываю логи утилиты и пару примеров файлов, а также послание от злоумышленников
      2025-10-27.zip
    • dplayea
      Файлы зашифрованы с расширением .ant_dec
      Автор dplayea
      Добрый вечер. У нас файлы зашифрованы с расширением .ant_dec. 
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
×
×
  • Создать...