Перейти к содержанию

Шифровщик [Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade

ofstd
 Share Подписчики 0

Рекомендуемые сообщения

ofstd

ofstd 0

Опубликовано
Опубликовано

Добрый день. Прогулялась по сети вот такая гадость. Сообщений о выкупе и подобных файлов не обнаружено. 

Прикладываю образцы и результаты сканирования. 

Даже не получилось понять что именно это за штука.

 

Извиняюсь за размеры образцов, тяжело найти маленькие файлы.

образцы:
https://cloud.mail.ru/public/vPpi/3LVdq1uVJ

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
ofstd

ofstd 0

Опубликовано
  • Автор
Опубликовано

Спасибо что помогли идентифицировать.

Пока непонятно откуда именно это полезло, можно ли как-то идентифицировать где это началось?

Остановить распространение подобного?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 362

Опубликовано
Опубликовано

Судя по времени шифрования - вход по RDP. Возможно даже был взлом какого-то другого компьютера в сети организации, имеющего доступ к серверу. И уже с него добрались до сервера. Пароль смените.

 

Если файл C:\Users\Гость\Desktop\dwm.exe Вам не известен, проверьте его на virustotal.com и пришлите ссылку на результат проверки.

TeamViewer сами устанавливали?

Ссылка на сообщение
Поделиться на другие сайты
ofstd

ofstd 0

Опубликовано
  • Автор
Опубликовано

Доступ не только у меня, но склоняюсь что тимвивер был со стороны установлен. + дата его установки совпадает с датой dwm.exe

 

Остается открытым вопрос, как можно обезопасить выжившие файлы и быть уверенным что они не представляют угрозы? С настройками системы разберемся, ну в плане безопасности.

Снимок.PNG

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • cheker89
      HORSESHITEVERYWHERE Шифровальщик
      От cheker89
      Доброго времени суток уважаемые! Поймали сегодня ночью вот такого вот товарища (HORSESHITEVERYWHERE)
      Зашифрованные файлы приложу. Сталкивался кто-нибудь? Есть дешифратор или возможность дешифровать? 
      Desktop.rar
    • merdOgli
      Шифровальщик
      От merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Дмитрий Пискарев
      Шифровальщик id[06DDCE15-3352].[p0pc0rn@tuta.io].faust
      От Дмитрий Пискарев
      Добрый день.
      Шифровальщик поразил файлы на сервере. Работал ночью
      FRST.txt info.txt virus.7z Addition.txt
    • Maksim24
      Все зашифровано в Lnk
      От Maksim24
      Здравствуйте, появилась огромфайлы и письмо.rarная проблема, в лице зашифрованных файлов. Очень нужна помощь.
    • iXRocky
      Зашифровало весь сервер включая системные файлы
      От iXRocky
      С утра обнаружили зашифрованый сервер, до этого нам то же шифровали но большинство программ работало, а в этот раз зашифровал сервер так что даже встроенные утилиты прекратили работать (типо edge или матер сервера и другие)

      Надеюсь на Вашу помощь ибо денег таких нет да и не верится что хаккеры расшифруют обратно.

      Ссылка на архив
      Addition.txt FRST.txt
×
×
  • Создать...