Zakodované soubory na síti - decode@india.com

[Logi76]

Zdravím

na síti mi nějaký PC který ma nazdílenou sítovou složku zakodoval všechny soubory zip,doc,xls apod do tvaru, kdy soubor ma nazev - puvodní_nazev-ID_nejaký_číslo_decode@india.com soubory sou zakodovány pouhé přejmenování je nezachrání..

o soubory mi tak nejak nejde ale jak zjistim utočníka jaký tobylo PC v síti když jich tam je cca 100 všude je ESET smart SEC popřípadě ENDPOINT, snažime se to vše postupně dát na RA konzoli... ale je to jak hledat jechlu v kupce sena.. zvlašt když ten PC neni zaplej pořád... nehledě na to v tom časovém useku kdy zakodoval soubory na zdíleném disku, taky z domeny odešlo tuna spamu... = blacklist... ale zas jen v určitem časovém useku.. kdyby to spamovalo furt tak se to dá najít ale takhle

vý někdo jak se ta havět menuje ? jak se rozšiřuje a jak de zabít ?

předem děkuji.

[motji]

Dobrý den,
zkuste zjistit, zda někdo neotevřel nějaký email s přílohou. V cizině to byl email z Telecomu, zde nevím, dizkuze k tomu je zde
http://www.bleepingcomputer.com/forums/ ... eindiacom/

Soubory zatím nejdou dekodovat.

Vzhledem k množství počítačů budete muset udělat nějaký systém, jak ho najít, bud se poptat pracovníků, zda neotevřeli podezdřelý email s přílohou, nebo vysledovat, kdy odchází spam a v tu chvíli jaké pc byli zapnuty.
Pokud někdo takový email otevřel a stahnul přílohu, měl by mít na pc tabulku s výzvou k uhrazení výkupného za dekodování souborů, takže zaměstnanci by si mohli něčeho všimnout.

[Logi76]

dik za info, zatim prohledavame všechny PC v síti.. nikdo z uživatelu si prave nestežoval že by mel na ploše nebo někde nejakouhlášku nebo že by měl dekodovany soubory... nebo sme ten pravej zatim nenašli ale pocitam že se snad uživatele ozvou pokud se ten PC zapíná jen občas...