Решена с расшифровкой. email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16

[nzp.vrm]

email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16
Создал доменного admins зашифровал 4 сервера.
Шифровальщик не найден
Нужна срочная помощь с большой благодарностью для Вашего проекта.

 

[thyrex]

Если чистку данной системы не делали, то шифратор работал с другого компьютера.

 

[nzp.vrm]

Если чистку данной системы не делали, то шифратор работал с другого компьютера.

Чистку не делали. Как говорил ранее зараза распространилась на все машины и сервера у которых были открыты файловые шары. Сейчас проводим поиски шифратора но.... сколько это займет еще времени не знаем... а проблема горячая ... очень.
Похожий случай - https://safezone.cc/threads/shifrov...-tutamail-com-ver-cs-1-6-id-fname-cs16.33455/ вроде бы и решение есть.

 

[akok]

Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.

 

[nzp.vrm]

Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.

Я верно Вас понял что необходимо найти шифровальщик что бы понять возможность расшифровки ?

 

[thyrex]

Нужно найти компьютер с возможно еще активным шифратором, но не предпринимать при этом никаких действий, кроме сбора логов

 

[nzp.vrm]

Нужно найти компьютер с возможно еще активным шифратором, но не предпринимать при этом никаких действий, кроме сбора логов

Какое имя у него может быть кроме manual0607.exe ???

 

[thyrex]

С этой почтой для связи встречалось только такое имя.

 

[nzp.vrm]

С этой почтой для связи встречалось только такое имя.

Проводим сканирование серверов и ПК... ох и долго же это все будет ... большой парк ))

 

[thyrex]

Как вариант, на компьютере-первоисточнике теоретически должно быть больше всего файлов README.txt с сообщениями вымогателей для связи.

 

[nzp.vrm]

Тут вопрос к экспертам реальным ! Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети? и если да то достаточно ли инсайдеру прав пользователь в домене что бы создать доменного админа ? Грубо говоря пришел студент с флешкой и запустил исполняемый файл шифровальщика, на доменном пк с правами юзвера доменного возможно ли такое в данной ситуации ?

 

[akok]

Другие в этом разделе ответить не могут.

Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети?

Обычно ломают через RDP, но никто не запрещает запустить его изнутри, там довольно понятный интерфейс. Тем более даркнет активно ищет желающих подработать из сотрудников предприятий и банков.

 

[akok]

А машина с которая держит домен доступна по RDP?

Насчет прав, нет, если нет прав, со создать пользователя не возможно (можно теоретически воспользоваться уязвимостью, но я о такой не в курсе). Если запустить шифровальщик под пользователем, то шифровальщик зашифрует файлы пользователя + доступные для записи сетевые ресурсы.

Больше можно сказать посмотрев в логи машины-первоисточника.

 

[akok]

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 50000 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

 

[nzp.vrm]

В течении 1 часа предоставим... надеюсь на скорейший ответ

 

[akok]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.

 

[nzp.vrm]

Вот собственно и доки

 

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.

 

[nzp.vrm]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.

Отсутствует

 

[Sandor]

Можно попросить друзей, знакомых, коллег, у кого есть лицензия, создать запрос от их имени. Известно, что ЛК предоставляет расшифровку.