Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик fairexchange@qq.com

Uga
 Поделиться

Рекомендуемые сообщения

Uga

Uga

Опубликовано
Опубликовано

Добрый день.

Словили шифровальщика от fairexchange@qq.com

При шифровании данных в именах файлов добавился адрес fairexchange@qq.com.

Какие действия необходимо сделать для чистки системы от этого трояна.

Uga

Uga

Опубликовано
  • Автор
Опубликовано

Прикрепил архив с Addition.txt, FRST.txt, зашифрованный файл и файл html c текстом вымогателя.

логи.rar

akoK

akoK

Опубликовано
Опубликовано

Это crylock 2.0.0.0, расшифровки для него нет. Система под переустановку или будем чистить хвосты?

Uga

Uga

Опубликовано
  • Автор
Опубликовано

Будем чистить.

Переустановка нам не подходит.

Спасибо.

akoK

akoK

Опубликовано
Опубликовано

Сами настраивали?

HKLM Group Policy restriction on software: GWXUXWorker.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXConfigManager.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXGC.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXUX.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: gwx.exe <==== ВНИМАНИЕ

 

Судя по логам, записки вымогателя вы сами почистили, или шифровало только в сетевых папках?

Uga

Uga

Опубликовано
  • Автор
Опубликовано

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Записки вымогателя были удалены из этих папок.

Специальных настроек в политиках на запрет запуска программ я не делал.

 

Uga

Uga

Опубликовано
  • Автор
Опубликовано

Какие манипуляции по удалению хвостов нам необходимо сделать?

 

akoK

akoK

Опубликовано
Опубликовано
16.03.2021 в 11:29, Uga сказал:

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Тогда, скорее всего, неправильно определена точка входа преступников. Если шифровались только шары, то нужно искать полностью зашифрованную систему с выходом в сеть через RDP

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Шифровальщик extremessd@onionmail.org, требуется помощь в дешифровке
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • Евгений111
      Поймал шифровальщика
      Автор Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...