Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Словили шифровальщика от fairexchange@qq.com

При шифровании данных в именах файлов добавился адрес fairexchange@qq.com.

Какие действия необходимо сделать для чистки системы от этого трояна.

Ссылка на сообщение
Поделиться на другие сайты

Сами настраивали?

HKLM Group Policy restriction on software: GWXUXWorker.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXConfigManager.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXGC.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXUX.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: gwx.exe <==== ВНИМАНИЕ

 

Судя по логам, записки вымогателя вы сами почистили, или шифровало только в сетевых папках?

Ссылка на сообщение
Поделиться на другие сайты

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Записки вымогателя были удалены из этих папок.

Специальных настроек в политиках на запрет запуска программ я не делал.

 

Ссылка на сообщение
Поделиться на другие сайты
16.03.2021 в 11:29, Uga сказал:

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Тогда, скорее всего, неправильно определена точка входа преступников. Если шифровались только шары, то нужно искать полностью зашифрованную систему с выходом в сеть через RDP

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От _oleg77_
      Virus.rarТроян зашифровал все файлы.
       
      Addition.txt Files.rar FRST.txt
    • От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar
    • От DimmON77
      Здравствуйте.
      Поймал шифровальщика на рабочем компьютере (если не ошибаюсь, это произошло 2021-04-23).
      Как только увидел зашифрованные файлы в рабочей папке - сразу выключил компьютер.
      Логи Farbar Recovery Scan Tool были сделаны когда компьютер загружен с флешки с windows pe. 
      Очень надеюсь на помочь в расшифровке.Лог Farbar Recovery Scan Tool и зашифрованные файлы.7z
    • От Sergody
      Добрый день, ситуация такая: Есть отдельный серверный комп, вчера когда к нему подключился увидел кучу открытых окон, реестр, какие то текстовые файлы и сразу запаниковав перезагрузил его после запуска компьютера увидел нового пользователя, мой аккаунт с правами администратора стал недоступен, возможность зайти в систему была только через другого пользователя с обычными правами и там уже обнаружил что файлы закодированы. Как и где подхватить не знаю. 
      Addition.txt FRST.txt Зашифрованные файлы и записка.rar
    • От bsdshneg
      Добрый день!
      Зашифровали файлы, предположительно по RDP, есть сам exe которым шифровалось.
      Есть возможность расшифровать? Ничего вроде сверх-критичного, просто жалко историю (
      Сама программа и пример зашифрованного файла с оригиналом прикрепил.
      1(ru,sng).rar
       
      Пример.rar
×
×
  • Создать...