Добрый день.
У нас в организации вирус зашифровал файлы, находящиеся в открытом доступе. Зашифровал не все, в какой-то момент почему-то прервался. Логи с одного из серверов на windows 2008 с большим количеством зашифрованных файлов во вложении. Вот ссылки на пару зашифрованных файлов: https://dropmefiles.com/AdFhb
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vandros, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Откуда был запущен шифровальщик, с данного сервера или с рабочей станции?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте.
Зашифрованные файлы созданы от имени одного из доменных пользователей в 9:28. Этот пользователь в это время открыл через exchange outlook подозрительное письмо, у него всё подвисло на какое-то время, потом отпустило, он удалил это письмо. Я отключил его компьютер от сети, проверил двумя актуальными загрузочными антивирусами и ничего не нашел.
Для очистки от шифровальщика, требуется лог ПК откуда непосредственно был запущено вредоносное ПО.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Я не уверен что он был запущен именно с этого ПК. Как это можно узнать?
Для это нужны логи, но хотелось бы обратить Ваше внимание, что с расшифровкой не поможем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Совсем не поможете? Какие-то сложности с моим случаем?
Vandros без приватного ключа, который есть только у злоумышленников расшифровать невозможно.
P.S. Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать создать запрос на помощь по расшифровки данных. Но опять же гарантий не каких нет, так как в большенстве случаев расшифровка данных невозможна.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
