Добрий день всем.
Прошу помочь.
Юзер внес вирус-шифровальшик, и после етого шари с полним доступом (виборочно не все) зашифровались.
По nomoreransom показало что єто: "Lockbit 3.0" or "BlackBasta" or "DoNex"
Но не один расшифровшик не помог.
На серверах включен диспетчер ресурсов файлового сервера. И на тех шарах кроме как шифрованих файлов нет исполняющих файлов.
Машинки проверил Cure-It AVZ все чисто
На одном сервере через теневую копию достал живой файл. Прикрепляю живой и битий файл.
А и написал тому человечку в TOX ID и он дал Bitcoin Wallet: 1GeGvY4dMpwAbQztc7DehDj1MU5N92A9Xx
Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ArchA, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Ето файли с сервера на котором била шара с шифрованими файлами.
Тут exe нет так как включена защита от записи файлов exe в шару.
Нашли потенциального 0 пациента, в нем присутвует и на столе и на дисках та самая зараза, с него нужен файл?
Т. е. шифрование именно с его ПК по сети было? Как именно произошло, есть понимание? Через файл или ссылку в Э/П, мессенджере, взлом? Логи тогда нужны с нулевого пациента, хотя и они мало чем помогут, расшифровки скорее всего, нети исходный файл никак не поможет.
Теневые копии шар есть актуальные? В журналах ошибки:
Error: (08/27/2024 06:54:35 PM) (Source: volsnap) (EventID: 25) (User: )
Description: Теневые копии тома D: удалены из-за невозможности увеличения хранилища теневых копий. Уменьшите загрузку ввода-вывода для системы или выберите другой том для хранилища теневых копий, который не подлежит теневому копированию.
Error: (08/25/2024 01:21:41 AM) (Source: volsnap) (EventID: 35) (User: )
Description: Теневая копия тома D: прервана, поскольку не удалось увеличить хранилище теневых копий.
По теневим шарам ругається так как только включил на даном сервери и они вперлись в место.
Понимания точки входа.
Нулевой пациент подключился к корпоративной сети, и вирус начал искать обшедоступние шари и шифровать ( что интересно шари которие доступни только по пользователям не тронути, и папки в которих сначала названия бил символ ! так само не тронути) Тронути не все обшедоступние шари а только частично, алгоритма и схожости не нашли чего и емнно ети шари тронути. Как узнали про нулевого пациента: колега с другого города включив дедукцию что поменялось взял нотик юзера которий давно не бил в корп. сети и недавно подключился, и на нем обнаружил букет вирусов (фото додаю) так же зашифрование файли и файл CdavEsUJx.README и сам exe вирусника (которий оперативно грохнул).
По политикам Диспетчера файлового сервера на шари EXE не попадают, вот вирус только что и сделал то зашифровал дание
Файли с больного нулевого
[IMG][/IMG]
Последний раз редактировалось ArchA; 03.09.2024 в 10:44.
Сэмплов шифровальщика для изучения на ноутбуке нет, так что даже теоретических шансов на расшифровку нет.
Устройства с устаревшей неподдерживаемой ОС Windows 7 (наверняка ещё и без важных обновлений), без антивируса, где пользователь имеет права администратора, в принципе не должны допускаться в рабочую сеть, по крайней мере, без предварительной проверки.
И, раз не было бэкапа важных данных, значит, они были не так уж и важны (злая шутка).
Помочь, к сожалению, нечем.
Можно попробовать обратиться в ТП антивирусного вендора за расшифровкой, но шансов практически нет, да и насколько в текущих условиях это возможно и приемлемо - решать вам.
Платить вымогателям - могут и обмануть, да и поддерживать их бизнес - так себе вариант. Но решение - за вами, опять же.
Платить точно не хто не будет, аморально и лохотрон.
Дание били 5 из 10 в основном помойка, но важние тоже били.
Ну и как ви говорите в стиле злой шутки появилось много свободного места.
за такой доступ, будем по рукам бить)
А вот маленький вопрос, а по шифрованому и чистому файлу нереально вичислить?
Ответить с цитированием
Сообщение от ArchA
