Pomoc w identyfikacji ransomware


(adam951) #1

Witam.

W firmie zaatakował nas w piątek jakiś ransomware, natomiast nie jest to Wannacry 2.0, o którym ostatnio bardzo głośno. Poniżej opisuję wydarzenie.

Typowa sieć w małej firmie. Windows Server 2012 głównie jako magazyn danych. W sieci komputery od Win 2000 przez XP i 7 (komputery przemysłowe) do Win 10. Z obserwacji wynika, że szyfrowanie plików odbywa się z komputerów z XP na dyskach sieciowych. Lokalnie się nic nie dzieje. Tak jak jeden komputer ma wgląd do katalogu na serwerze jako dysk sieciowy to szyfruje tam dokumenty *.txt, *.doc, *.xls itd. Generalnie dokumenty pakietu biurowego. Potem kolejny komputer widzący ten sam katalog się infekuje i mając wgląd do innego komputera (na przykład do katalogu danych na jednym z komputerów przemysłowych szyfruje tam pliki dalej). Generalnie w ciągu doby zechlało prawie wszystko. Zaszyfrowane pliki mają rozszerzenie *.jse i w danym katalogu wszystkie te pliki mają taki sam rozmiar a także… Sumę kontrolną…

Ktoś się z tym spotkał? Po instalacji ostatnich łatek od M$ zdaję się, że wszystko ustało. Jedynie obawiam się komputera z Win2000.

Czy ktoś spotkał się z czymś podobnym? Zachęcam do dyskusji. :wink:

Pozdrawiam!


(Atis) #2

https://id-ransomware.malwarehunterteam.com/index.php?lang=pl_PL


(Mark7) #3

Wygląda mi to na napisany w JavaScripcie ransomware Evil. Wasze kompy z Win 2K i XP prawdopodobnie pracują na kontach Administratorów i stamtąd przyszła infekcja.