Евгений111 Опубликовано 11 ноября, 2021 Share Опубликовано 11 ноября, 2021 Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил. архив.rar Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 11 ноября, 2021 Share Опубликовано 11 ноября, 2021 Здравствуйте. Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена? Цитата an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled) Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled) Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled) Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО.Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ C:\Users\an\appdata\local\temp\svcymh.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Евгений111 Опубликовано 11 ноября, 2021 Автор Share Опубликовано 11 ноября, 2021 Касперский был почему-то полностью отключен, когда всё произошло. Файл во вложении Fixlog.txt А дешифровать зашифрованные файлы получится? Бэкапов нет, сервер недавно переустановил... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Евгений111 Опубликовано 12 ноября, 2021 Автор Share Опубликовано 12 ноября, 2021 Я так понял это 2.0.0.0, а для него дешифратора ещё нет? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 ноября, 2021 Share Опубликовано 12 ноября, 2021 И не стоит надеяться на его появление в обозримом будущем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 12 ноября, 2021 Share Опубликовано 12 ноября, 2021 15 часов назад, Евгений111 сказал: А дешифровать зашифрованные файлы получится? В техподдержке спросите. 15 часов назад, Евгений111 сказал: Касперский был почему-то полностью отключен, когда всё произошло. Собственно вероятно по этой причине: Цитата Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского") У Вас KSC развернут в организации? 15 часов назад, Евгений111 сказал: Бэкапов нет, сервер недавно переустановил... Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти