Выбрать дату в календареВыбрать дату в календаре

1
Cryakl/CryLock - этапы "большого пути"
Прошу Вас посмотреть - данный архив,
в котором находится зашифрованный файл,
это получается файл ярлык.

Если будет результат дефивроки,
можете сообщить,
мои дальнейшие действия?
Cryakl/CryLock - этапы "большого пути"
[QUOTE]santy написал:
[QUOTE] alx bit написал:
[QUOTE] santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
  [URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.[/QUOTE]
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.[/QUOTE]

да, он остался, я сразу образ снял p2v развернул, и через снэпшоты чтобы можно было тестить, что удалено было и.т.д.

зловвред не все файлы за шифровал, потому что-либо система ему не дала из за ограниченности или же он выборочно шифровал.

вирус я просто через другого пользователя зашел, вырезал и в папку в другую положил и он на том пользователе не запускается повторно.
Cryakl/CryLock - этапы "большого пути"
[QUOTE]santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
Cryakl/CryLock - этапы "большого пути"
NS.EXE я загрузил его на вирустотал, и он определил 56 вирусов под разными названиями.
Cryakl/CryLock - этапы "большого пути"
[QUOTE]santy написал:
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.[/QUOTE]
да, согласен, но где БД 1с стоит, там не рекомендуется ставить антивирус, так как может повлиять отрицательно на работу.
Cryakl/CryLock - этапы "большого пути"
I love ESET всегда, но был бы рад помощи.
Cryakl/CryLock - этапы "большого пути"
Образ есть, все выташить можно, это какие зловреды, в не обди были)) время захода, 2 саса они сидели ждать пока отскаеируется или пытались в сети крутить другие сервера, потом через 2 часа вышли. А зашли в 00.21, а шифрование запустили в 00.23 минуты ночи. Эти вирус шифраторы, с ними Win10 Pro лицензия, хорошо борется, а с пользователем не повезло.
Cryakl/CryLock - этапы "большого пути"
Да, дело в том, что все включено было, и зашифровался только один пользователь и доступ к чему имел, а все остальное осталось живым и не нетронутым. Ну я не стал рисковать, новую ОС поднял, и ИБ с 2х дневней потерей загружу и все. Просто это атака была, ip адреса есть откуда происходит и она происходит ежеминутно, кто то крутит пытается, или по почте отправили пользователю. Но если по почте отправили бы, то ПК пользователя тоже бы вируснулся, это один момент, что крутят удалённо с разных IP. Просто это связано с тем, что имеется еще SIP телефония на этом IP, и сразу где телефония там и другие порты сканят. Самое интересно, что не крутили они роль Администратора, а забрутили пользователя. Если ли сканеры, которые могут видеть больше? Чем открытые порты?
Cryakl/CryLock - этапы "большого пути"
Я так понял  криптографии это версия 2.0, искал в сети ничего не нашел. Ну мне не так страшно, два дня потеряно, завтра будут в ручную восстанавливать. Копию p2v сделай и могу там тестить на дешифровку, так как большинство так не делают, что очень необходимо. Так как исходная система будет в начальном состоянии . Удалённых файлов не было, он ничего не удалял в корзину злоумышленник
Cryakl/CryLock - этапы "большого пути"
Здравствуйте,

значит, что делать в такой ситуации,
как я понял, у пользователя учетные данные были  скомпрометированы,
потом,
подключились под ограниченными правами данного пользователя с правами пользователь,
загрузили файлы,
и произвели блокировку его рабочего стола.

Теперь файлы, к которым имел пользователь доступ,
они зашифровались, я так понял по информации файлов,
это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом [URL=mailto:flydragon@mailfence.com]flydragon@mailfence.com[/URL],
который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[[URL=mailto:flydragon@mailfence.com]flydragon@mailfence.com[/URL]][sel4ru].[3E2730A7-21C21601]",
и некоторые файлы имеют  с расширение .cfl

Я как авторизированный пользователь корпоративного антивируса,
могу получить рекомендации по данному вирусу?

так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

Как можно решить вопрос с дешифрации с помощью специалистов eset?
Изменено: alx bit - 03.11.2020 17:14:22
1