Перейти к содержанию

Шифровщик [Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade


Рекомендуемые сообщения

Добрый день. Прогулялась по сети вот такая гадость. Сообщений о выкупе и подобных файлов не обнаружено. 

Прикладываю образцы и результаты сканирования. 

Даже не получилось понять что именно это за штука.

 

Извиняюсь за размеры образцов, тяжело найти маленькие файлы.

образцы:
https://cloud.mail.ru/public/vPpi/3LVdq1uVJ

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Спасибо что помогли идентифицировать.

Пока непонятно откуда именно это полезло, можно ли как-то идентифицировать где это началось?

Остановить распространение подобного?

Ссылка на сообщение
Поделиться на другие сайты

Судя по времени шифрования - вход по RDP. Возможно даже был взлом какого-то другого компьютера в сети организации, имеющего доступ к серверу. И уже с него добрались до сервера. Пароль смените.

 

Если файл C:\Users\Гость\Desktop\dwm.exe Вам не известен, проверьте его на virustotal.com и пришлите ссылку на результат проверки.

TeamViewer сами устанавливали?

Ссылка на сообщение
Поделиться на другие сайты

Доступ не только у меня, но склоняюсь что тимвивер был со стороны установлен. + дата его установки совпадает с датой dwm.exe

 

Остается открытым вопрос, как можно обезопасить выжившие файлы и быть уверенным что они не представляют угрозы? С настройками системы разберемся, ну в плане безопасности.

Снимок.PNG

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Etmeranta
      Здравствуйте!
      На сервере шифровальщик зашифровал всю информацию, которая была в общем доступе. Предполагаю, что заражение произошло через RDP. Большую часть информации восстановили из бэкапа.  Прочитала на форуме, что решения по этому шифровальщику пока нет. Помогите, пожалуйста, очистить следы вымогателя. И еще после шифровальщика рабочие станции  под управлением astra linux перестали подключаться к серверу, на котором вообще нет следов шифровальщика. А win станции работают с этим сервером по RDP в обычном режиме. Не подскажите в чем может быть проблема?
      Addition.txt FRST.txt доки.rar
    • От belokuriha
      Добрый день. Очень сильно нужна помощь . Сегодня с утра включил компьютер , и обнаружил что все файлы были зашифрованы . Висит табличка с указанием сколько нужно денег и какой адрес слать .
       
      Попробовал утилитку RakhniDecryptor , к сожалению она сказала что не знает такие файлы. Подскажите как я могу расшифровать , хотя бы  базы и часть сайта нужно забрать с диска.
    • От Poristo
      Приветствую, был зашифрован сервак. оплатили вредителям прислали программу для расшифровки но не получается. Есть rsa ключ нужна помощь 
    • От babikov
      Позавчера зашифровали большое количество файлов, не смогли бы помочь с расшифровкой? Прикладываю оригинал, зашифрованный файл и readme вируса.
       
      Оригинал.zipЗашифрованный файл.zip!!! Readme !!!.zip
    • От Andrey3254
      На одном из компьютеров, и на всех доступных по сети папках были зашифрованы файлы.
      шифровальщик5.rar
×
×
  • Создать...