файлы зашифрованы с расширением *.Omerta - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 28.08.2018

Размещено 30.08.2018 11:58:18

Здравствуйте!
С воскресенья на понедельник, ночью, началось шифрование. Шифрование затронуло выборочно 3 компьютера и сетевое хранилище D-link/ Зашифрованы оказались файлы в папках, которые были расшарены по сети, остальные файлы оказались нетронутыми. Не можем найти откуда проник зловред, помогите пожалуйста Ночью на работе никого не было, письма никто никакие не открывал.

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 30.08.2018 12:27:16

добавьте образы автозапуска с пострадавших копьютеров.
если на пострадавших компьютерах были затронуты шифратором только расшаренные папки, тогда запуск был скорее всего с другого компа.
добавьте в архиве записку о выкупе и несколько зашифрованных файлов.
-----------
если взлом одного из компьютеров был по сети, то необязательно, чтобы кто-то при этом был на работе, достаточно того, чтобы компьютеры были включены и доступны для подключения извне.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 28.08.2018

Размещено 30.08.2018 13:23:59

отправил образ автозапуска одного из компов + в архиве зашифрованные файлы

Прикрепленные файлы

ADMIN_2018-08-30_13-06-06.7z (1.63 МБ)

Сообщений: 6

Баллов: 3

Регистрация: 28.08.2018

Размещено 30.08.2018 14:36:35

второй комп, который затронуло шифрование

Прикрепленные файлы

APZ9_2018-08-30_11-24-47.7z (249.11 КБ)

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 30.08.2018 18:21:22

на admin, apz9 следов активности omerta нет. возможно с других компутеров был запуск шифратора, который достал в сети расшаренные папки

Цитата
Scarab Этот вымогатель дешифруем при некоторых обстоятельствах. Изучите руководство для дополнительной информации. Опознан как ransomnote_filename: READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT ransomnote_email: [email protected] custom_rule: Encrypted size marker [0x00 - 0x08] 0x0480000000000000

Цитата

Scarab
Этот вымогатель дешифруем при некоторых обстоятельствах.

Изучите руководство для дополнительной информации.

Опознан как

ransomnote_filename: READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
ransomnote_email: [email protected]
custom_rule: Encrypted size marker [0x00 - 0x08] 0x0480000000000000

https://id-ransomware.malwarehunterteam.com/identify.php?case=644520cf38976f20df15915c5414a6e2c23a8e4b

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 28.08.2018

Размещено 04.09.2018 11:22:46

Просмотрел все компы в локальной сети, ничего не обнаружил, чтобы напоминало о шифровальщике

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 04.09.2018 17:21:08

Цитата
vlad postnov написал: Просмотрел все компы в локальной сети, ничего не обнаружил, чтобы напоминало о шифровальщике

по третьему компутеру можно еще посмотреть образ автозапуска

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 28.08.2018

Размещено 05.09.2018 10:52:01

Загрузил образ

Прикрепленные файлы

BUHGALTERIA_2018-09-05_10-48-44.7z (436.96 КБ)

Сообщений: 17790

Баллов: 14232

Регистрация: 16.03.2010

Размещено 05.09.2018 11:57:24

Цитата
vlad postnov написал: Загрузил образ Прикрепленные файлы BUHGALTERIA_2018-09-05_10-48-44.7z (436.96 КБ)

здесь так же не видны следы запуска шифратора

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.02.2019

Размещено 21.02.2019 11:54:20

Здравствуйте!
На компьютер попал вирус, зашифровал офисные документы, резервной копии нет. Очень нужна помощь в расшифровке. Прикрепляю образ автозапуска, зашифрованные файлы и письмо от вымогателей.

Прикрепленные файлы

Files.rar (16.48 КБ)
READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.rar (1.69 КБ)
LYUDA_2019-02-20_15-59-25_v4.1.2.7z (888.42 КБ)

файлы зашифрованы с расширением *.Omerta , Scarab/Filecoder.FS