Вирус шифровальщик

Форум Программирование Общие вопросы программирования (Dev)

1. waitklassik 11.01.21 10:29 Сейчас в теме

Подхватили шифровальщика, пострадала часть данных. Зашифрованные файлы получили расширение имя домена нашей сети. Распознать шифровальщика не получилось подскажите куда копать?

По теме из базы знаний

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

6. user856012 14 11.01.21 10:47 Сейчас в теме

(1)

Распознать шифровальщика не получилось

Зачем?

подскажите куда копать?

В сторону источника (виновника) заражения.

16. pavel06 2 12.01.21 00:18 Сейчас в теме

(1)

не получилось подскажите куда копать?

DrWeb за покупку своих лицензий обещал какое-то содействие.

2. AnryMc 849 11.01.21 10:31 Сейчас в теме

Копать в сторону архива...

3. waitklassik 11.01.21 10:32 Сейчас в теме

(2)уже. но хотелось бы распознать с чем столкнулись. на просторах интернета ничего нет

4. Maystrenko_Ivan 11.01.21 10:42 Сейчас в теме

Добрый день.

Попробуйте уточнить эту информацию на сайте компаний, производящих антивирус. Тут может быть много различных вариантов, с различными вирусами. В общем и целом - вполне возможен и фишинг через почту.

5. SlavaKron 11.01.21 10:45 Сейчас в теме

Восстановить файлы по сигнатуре. Разумеется, работа с диском должна быть остановлена как можно раньше, чтобы поверх удаленных файлов не записывались новые данные.

7. AnryMc 849 11.01.21 10:52 Сейчас в теме

По понятиям зоны .ru: почему шифровальщики обходят русский домен
Вирусы-вымогатели автоматизированы так, чтобы не заражать крупные отечественные промышленные компании

https://iz.ru/1055275/anna-urmantceva/po-poniatiiam-zony-ru-pochemu-shifrovalshchiki-obkhodiat-russkii-domen

З.Ы. А у Вас какой домен?

8. lavash67 11.01.21 11:02 Сейчас в теме

Несколько лет назад сталкивались с шифровальщиком. Им оказался хитрый vbs-скрипт, отправленный на почту одного из менеджеров с названием "счёт ..." (и похожим именем файла). Естественно, после запуска скрипт стянул основное тело и удалил себя с жесткого диска. В первую очередь я бы проверил прикрепленные файлы входящей почты в день заражения. Однако, не исключено, что скрипт запустился по расписанию, тогда придется проверять еще и планировщик. Если почта корпоративная - проверить логи почтового сервера, кем были получены письма с вложениями и оттуда копать. Ещё нельзя исключать и носители. Получить запускающий модуль в комплексной сети- целое дело. Удачных поисков.

В той вариации, с которой столкнулись мы, запускался GPG клиент, данные шифровались публичным ключом, приватный ключ же отправлялся автору. Правда, это было в 2016, возможно, с тех пор технологии эволюционировали, но причина осталась той же - невнимательность пользователя.

9. SlavaKron 11.01.21 11:10 Сейчас в теме

(8)

причина осталась той же - невнимательность пользователя.

У вас пользователи отвечают за безопасность системы?

10. SapientiEst 11.01.21 11:14 Сейчас в теме

При заражении Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону <оригинальное_имя>*<почтовый_домен>_.<набор_символов>.

Утилита для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh Статья обновлена: 23 октября 2020

13. waitklassik 11.01.21 13:30 Сейчас в теме

(10)

расширение изменяется по шаблону *_..

не подходит у нас расширение состоит из оригинального имени старого расширения. домена и 4 цифр программа не смогла расшифровать файлы

11. XAKEP 11.01.21 12:25 Сейчас в теме

отдать специалистам
на его место поставить другой
чтобы не получили сюрпризы внутри сети

работать под учетной записью БЕЗ админ прав

12. XAKEP 11.01.21 12:54 Сейчас в теме

чем и как распознавали ?

я так понимаю,
вам этот системник пока выключить вообще

админ есть ?

14. masticore 11.01.21 13:58 Сейчас в теме

(12)Если сразу обнаружен то да, лучше аварийное отключение. Если прошло относительно много времени то лучше не перезагружать так как есть вероятность что ключ шифрования останется в памяти.

15. XAKEP 11.01.21 14:01 Сейчас в теме

(14)
по 13 ответе можно определить, кто за рулем :)

Оставьте свое сообщение

E-mail: