В общем 2 апреля, поймали шифровальщика, на серверах 2003 и XP есть metan.exe и соответственно после его работы, появились файлы с расширением .met@n. Пробывали утилиты от касперского не помогло. Может кто сталкивался?
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика. Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected] --------- судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент. https://www.virustotal.com/gui/file/a071c02f6e398173476ad3394f84d02201f6d817ee2fb9199f4e095ba0e2c7d5?nocache=1
Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.
Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика https://forum.esetnod32.ru/forum9/topic2687/ + соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников. "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков. а далее, смогли уже из локальной сети атаковать другие устройства. Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети. (можно на нескольких пострадавших устройствах)