Андрей Быков
Новый пользователь
- Сообщения
- 5
- Реакции
- 0
Добрый день.
Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.
Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.
Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.
Заранее спасибо
Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.
Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.
Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.
Заранее спасибо