Kaspersky
Solved

Расшифровка после кодировщика

  • 21 August 2019
  • 3 replies
  • 5106 views

Приветствую

Проблема классическая. Словили кодировщика, создающего в процессе работы по всем папкам файл HOW_TO_DECRYPT_FILES.TXT. Начало текста "Your network has been hacked by us. All host in your network encrypted with Powerful encryption algorithm(s) - RSA-2048 + Salsa2" и прочее. Вписал текст сюда, мало ли это поможет идентифицировать кодировщика.

Вопрос на тему "а как раскодировать" я бы не задавал, если бы не поймал это дело в процессе, а не по окончанию. Слышал как-то, что ключи шифрования кодировщик стирает уже после завершения этого дела. Понимаю, всё это звучит зыбко, но всё же. В одной из папок нашел два файла ключей (именно два, не один), Файлы с названием "key" и двумя разными расширениями. Сейчас не могу их выложить, т.к. компьютер находится удаленно и я его от греха подальше пока выключил, потому завтра только будет возможность.

Из подозрительного софта, появившегося на компе, exe'шники с названиями "microsoftsatan.exe" размером 4,690,944 - скрытый файл в папке System32. Также dns,exe размером 45,770,328 и sam.exe в корневом каталоге размером 1,072,640. Именно этот файл был пойман за непосредственной работой. Удалять их не стал, чтобы была возможность выложить.

Собственно вопрос: шансы есть или "какие ключи, не помогут тебе они", т.е. только останется рукой махнуть, т.к. помянутые в сообщении хацкеров 0.75 биткоина наши всё равно платить не будут? На тему, был ли на компьютере (Windows Server 2003) антивирус или же его, залогинившись удалили, пока открыт.

PS: Прошу прощения, не совсем понял, в какой раздел создавать тему
icon

Best answer by Friend 22 November 2019, 09:11

Здравствуйте, @Harh ,
По этому вопросу лучше создать запрос через Company Account и приложить все возможные данные и примеры зашифрованных файлов, если у вас стоял корпоративный продукт. Здесь, маловероятно, что кто-то вам поможет.
Бесплатные утилиты для расшифровки некоторых модификаций шифровальщиков Лаборатории Касперского доступны здесь: https://support.kaspersky.ru/viruses/utility и здесь: https://www.nomoreransom.org/ru/index.html
Рекомендации по защите компьютера от программ-шифровальщиков: https://support.kaspersky.ru/viruses/protection/10952

Подробный анализ некоторых модификаций шифровальщиков доступен на сайте: https://securelist.ru/

View original

3 replies

Userlevel 7
Badge +6

Здравствуйте, @Harh ,
По этому вопросу лучше создать запрос через Company Account и приложить все возможные данные и примеры зашифрованных файлов, если у вас стоял корпоративный продукт. Здесь, маловероятно, что кто-то вам поможет.
Бесплатные утилиты для расшифровки некоторых модификаций шифровальщиков Лаборатории Касперского доступны здесь: https://support.kaspersky.ru/viruses/utility и здесь: https://www.nomoreransom.org/ru/index.html
Рекомендации по защите компьютера от программ-шифровальщиков: https://support.kaspersky.ru/viruses/protection/10952

Подробный анализ некоторых модификаций шифровальщиков доступен на сайте: https://securelist.ru/

Здесь, маловероятно, что кто-то вам поможет.

 

Да, я уже заметил ) По результатам уже давно махнули рукой, немного обновили программное обеспечение на сервере.

Userlevel 7
Badge +6

@Harh по результатам нужно сделать выводы (аудит безопасности) и максимально уменьшить шансы заражения на этом и других ПК: https://support.kaspersky.ru/viruses/protection/10952 и настроить расписание резервного копирования данных на внешний носитель, который будет отключен после создания резервной копии данных. Удалить или обновить все уязвимые программы.
По вашему описанию получается к вам подключились через RDP, то есть подобрали пароль к учетной записи у которой были неограниченные права доступа, раз позволили удалить антивирус и на настройки антивируса не был установлен пароль. Для вашего сервера 2003 предпочтительнее Kaspersky Security 10 из продуктов Лаборатории Касперского.

Reply / Ответить