• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16
Создал доменного admins зашифровал 4 сервера.
Шифровальщик не найден :(
Нужна срочная помощь с большой благодарностью для Вашего проекта.
 

Вложения

  • Addition.txt
    108.2 KB · Просмотры: 1
  • FRST.txt
    39.4 KB · Просмотры: 3
  • virus.rar
    215.2 KB · Просмотры: 1
Последнее редактирование:
Если чистку данной системы не делали, то шифратор работал с другого компьютера.
 
Если чистку данной системы не делали, то шифратор работал с другого компьютера.
Чистку не делали. Как говорил ранее зараза распространилась на все машины и сервера у которых были открыты файловые шары. Сейчас проводим поиски шифратора но.... сколько это займет еще времени не знаем... а проблема горячая ... очень.
Похожий случай - https://safezone.cc/threads/shifrov...-tutamail-com-ver-cs-1-6-id-fname-cs16.33455/ вроде бы и решение есть.
 
Последнее редактирование:
Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.
 
Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.
Я верно Вас понял что необходимо найти шифровальщик что бы понять возможность расшифровки ?
 
Нужно найти компьютер с возможно еще активным шифратором, но не предпринимать при этом никаких действий, кроме сбора логов
 
С этой почтой для связи встречалось только такое имя.
 
Последнее редактирование:
Как вариант, на компьютере-первоисточнике теоретически должно быть больше всего файлов README.txt с сообщениями вымогателей для связи.
 
Тут вопрос к экспертам реальным ! Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети? и если да то достаточно ли инсайдеру прав пользователь в домене что бы создать доменного админа ? Грубо говоря пришел студент с флешкой и запустил исполняемый файл шифровальщика, на доменном пк с правами юзвера доменного возможно ли такое в данной ситуации ?
 
Последнее редактирование:
Другие в этом разделе ответить не могут.

Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети?
Обычно ломают через RDP, но никто не запрещает запустить его изнутри, там довольно понятный интерфейс. Тем более даркнет активно ищет желающих подработать из сотрудников предприятий и банков.
 
Последнее редактирование:
А машина с которая держит домен доступна по RDP?

Насчет прав, нет, если нет прав, со создать пользователя не возможно (можно теоретически воспользоваться уязвимостью, но я о такой не в курсе). Если запустить шифровальщик под пользователем, то шифровальщик зашифрует файлы пользователя + доступные для записи сетевые ресурсы.

Больше можно сказать посмотрев в логи машины-первоисточника.
 
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 50000 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
В течении 1 часа предоставим... надеюсь на скорейший ответ
 
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.
 
Вот собственно и доки
 

Вложения

  • virus.rar
    151.6 KB · Просмотры: 0
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.
 
Можно попросить друзей, знакомых, коллег, у кого есть лицензия, создать запрос от их имени. Известно, что ЛК предоставляет расшифровку.
 
Назад
Сверху Снизу