• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-....cs16
Создал доменного admins зашифровал 4 сервера.
Шифровальщик не найден :(
Нужна срочная помощь с большой благодарностью для Вашего проекта.
 

Вложения

  • Addition.txt
    108.2 KB · Просмотры: 1
  • FRST.txt
    39.4 KB · Просмотры: 3
  • virus.rar
    215.2 KB · Просмотры: 1
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,876
Реакции
2,582
Баллы
593
Если чистку данной системы не делали, то шифратор работал с другого компьютера.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Если чистку данной системы не делали, то шифратор работал с другого компьютера.
Чистку не делали. Как говорил ранее зараза распространилась на все машины и сервера у которых были открыты файловые шары. Сейчас проводим поиски шифратора но.... сколько это займет еще времени не знаем... а проблема горячая ... очень.
Похожий случай - https://safezone.cc/threads/shifrov...-tutamail-com-ver-cs-1-6-id-fname-cs16.33455/ вроде бы и решение есть.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,933
Реакции
13,631
Баллы
2,203
Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Решения нет, есть исключения из правила. Как найдете источник, не трогайте ничего и готовьте логи.
Я верно Вас понял что необходимо найти шифровальщик что бы понять возможность расшифровки ?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,876
Реакции
2,582
Баллы
593
Нужно найти компьютер с возможно еще активным шифратором, но не предпринимать при этом никаких действий, кроме сбора логов
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Нужно найти компьютер с возможно еще активным шифратором, но не предпринимать при этом никаких действий, кроме сбора логов
Какое имя у него может быть кроме manual0607.exe ???
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,876
Реакции
2,582
Баллы
593
С этой почтой для связи встречалось только такое имя.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,876
Реакции
2,582
Баллы
593
Как вариант, на компьютере-первоисточнике теоретически должно быть больше всего файлов README.txt с сообщениями вымогателей для связи.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Тут вопрос к экспертам реальным ! Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети? и если да то достаточно ли инсайдеру прав пользователь в домене что бы создать доменного админа ? Грубо говоря пришел студент с флешкой и запустил исполняемый файл шифровальщика, на доменном пк с правами юзвера доменного возможно ли такое в данной ситуации ?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,933
Реакции
13,631
Баллы
2,203
Другие в этом разделе ответить не могут.

Господа подскажите пожалуйста мог ли данный шифровальщик быть запущен осознано из нутри самой сети?
Обычно ломают через RDP, но никто не запрещает запустить его изнутри, там довольно понятный интерфейс. Тем более даркнет активно ищет желающих подработать из сотрудников предприятий и банков.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,933
Реакции
13,631
Баллы
2,203
А машина с которая держит домен доступна по RDP?

Насчет прав, нет, если нет прав, со создать пользователя не возможно (можно теоретически воспользоваться уязвимостью, но я о такой не в курсе). Если запустить шифровальщик под пользователем, то шифровальщик зашифрует файлы пользователя + доступные для записи сетевые ресурсы.

Больше можно сказать посмотрев в логи машины-первоисточника.
 

akok

Команда форума
Администратор
Сообщения
19,933
Реакции
13,631
Баллы
2,203
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 50000 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
В течении 1 часа предоставим... надеюсь на скорейший ответ
 

akok

Команда форума
Администратор
Сообщения
19,933
Реакции
13,631
Баллы
2,203
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.
 

nzp.vrm

Новый пользователь
Сообщения
12
Реакции
0
Баллы
11
Вот собственно и доки
 

Вложения

  • virus.rar
    151.6 KB · Просмотры: 0

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,719
Реакции
2,316
Баллы
653
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,719
Реакции
2,316
Баллы
653
Можно попросить друзей, знакомых, коллег, у кого есть лицензия, создать запрос от их имени. Известно, что ЛК предоставляет расшифровку.
 
Сверху Снизу