Предположительно 31.10.21 в 12-30 по RDP зашли на сервер по учетку пользователя не админскую, закачали 2 файла
Судя по времени шифрования файлов , начали шифроваться 03.11.2021 в 23-56.
Файлы которые скачали остались .cr_auto.exe и .cr_hand.exe
Шифрованные файлы стали вот в таком виде "акт сверки.pdf[[email protected]].[8D1739EC-1C696D28]"
Логи от программы из инструкции прикрепляю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) oaopkk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Расшифровки для данной версии вымогателя нет.
- - - - -Добавлено - - - - -
Но если вход был не под админской учёткой, а теневые копии делались - задания есть:То можно посмотреть в предыдущих версиях файлов.Код:O22 - Task (.job): (Ready) ShadowCopyVolume{034a497b-48cb-11e5-80b3-806e6f6e6963}.job - C:\Windows\system32\vssadmin.exe O22 - Task (.job): (Ready) ShadowCopyVolume{a2b3ea21-af30-11eb-8134-002655ff6ac6}.job - C:\Windows\system32\vssadmin.exe
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
