В общем 2 апреля, поймали шифровальщика, на серверах 2003 и XP есть metan.exe и соответственно после его работы, появились файлы с расширением .met@n. Пробывали утилиты от касперского не помогло. Может кто сталкивался?
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика. Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected] --------- судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.
Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
+ соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников. "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков. а далее, смогли уже из локальной сети атаковать другие устройства. Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети. (можно на нескольких пострадавших устройствах)
