Показано с 1 по 9 из 9.

Файлы помещены в rar-архивы с паролем (заявка № 183198)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2015
    Сообщений
    6
    Вес репутации
    11

    Файлы помещены в rar-архивы с паролем

    Добрый день. Новая напасть пришла, судя по всему, из неожиданного места (все пользователи, как локальные, так и сетевые теперь работают с правами обычной учетки, так что заражение через открытие письма маловероятно, хотя, кто его знает, ибо пароль админа у них таки есть на всякий случай). Уже читал тут подобные темы, судя по всему все происходит по RDP. В общем, весь диск D в запароленных rar-архивах и в корне txt, где написано что писать на tormail824037@gmail.com и указан уникальный код fjhewhgyufhdjthbuye774htubuj64dgksd.

    RDP-пароли, естественно уже изменены.

    Собственно, хотелось бы знать как именно это все произошло, действительно ли по RDP и из под какого пользователя.
    Ну и каковы перспективы расшифровки? Стоит ли ждать алгоритм подбора пароля или только платить вымогателям без уверенности что расшифруют?

    По аналогии с соседней темой, добавил лог от Universal Virus Sniffer.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Andrew Placid, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    18.02.2015
    Сообщений
    6
    Вес репутации
    11
    Готово.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      Folder: C:\XELDZ
      Folder: C:\Temp
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    18.02.2015
    Сообщений
    6
    Вес репутации
    11
    Готово.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Похоже удаленно зашли. Без тела шифратора шансов нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    18.02.2015
    Сообщений
    6
    Вес репутации
    11
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Похоже удаленно зашли. Без тела шифратора шансов нет.
    А можно узнать из под какого пользователя?
    Т.е. либо платить вымогателям, либо попрощаться с данными навсегда? Есть ли шанс, что в будущем будет алгоритм подбора пароля?

    - - - - -Добавлено - - - - -

    Ну и еще вопрос. Зашли по RDP подбором пароля (пароль действительно был простой, такой же как логин) или вирь может вытаскивать пароли, сохраненные в системе, из под которой заходили? Т.е. более сложный пароль спасет или если комп, с которого заходят заражен, то пароль все равно сопрут?
    Ведь не рандомно же сканируют айпишники с открытым RDP?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    А можно узнать из под какого пользователя?
    В журналах Windows смотрите. Если их конечно злодей не почистил перед тем, как уйти с вашего компьютера.

    Т.е. либо платить вымогателям, либо попрощаться с данными навсегда?
    Либо восстановить информацию из резервных копий.

    Есть ли шанс, что в будущем будет алгоритм подбора пароля?
    Сомневаюсь.

    Ну и еще вопрос. Зашли по RDP подбором пароля (пароль действительно был простой, такой же как логин) или вирь может вытаскивать пароли, сохраненные в системе, из под которой заходили? Т.е. более сложный пароль спасет или если комп, с которого заходят заражен, то пароль все равно сопрут?
    Погуглите информацию по бруту дедиков.

    Ведь не рандомно же сканируют айпишники с открытым RDP?
    Есть одна утилита которая показывает ip адреса с открытом 3389 портом. Название утилиты я не помню, но при желании вы можете ее найти через Google.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 28.01.2015, 18:51
  2. Ответов: 5
    Последнее сообщение: 23.01.2015, 12:40
  3. Ответов: 4
    Последнее сообщение: 23.12.2014, 11:26
  4. архивы RAR под паролем [HEUR:Trojan.Win32.Generic ]
    От kio77 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 28.01.2014, 13:05
  5. Ответов: 3
    Последнее сообщение: 07.01.2009, 17:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01024 seconds with 17 queries