Перейти к содержанию

Все данные диска в формате D_SQL - likilock@india.com.part01

ewil
 Поделиться

Рекомендуемые сообщения

ewil

ewil

Опубликовано
Опубликовано

все данные на диски зашифровались в D_SQL - likilock@india.com.part01.rar формат, каждый размером в 4,5 гига. Написал на указанную почту, ответа пока нет. Есть какие нибудь идеи ? 


Судя по всему вирус доработать не успел, осталась папка temp с файлами: frozen-genpy-27 Crashpad.. 

mike 1

mike 1

Опубликовано
Опубликовано

Ищите что запускали на дедике.

ewil

ewil

Опубликовано
  • Автор
Опубликовано

ответили на письмо, запросили 30к, продемонстрировали пару файлов разлоченных после передачи их. дали пароль от архива. 

Тема по сути не актуальна, если бы не одно но. 

 

На одном из серверов куда я логинился после обнаружения этой проблемы, начили удалятся файлы, не шифроваться а именно удаляется. методом исключения поняли что косячный файл находится в профиле пользователя, грохнули его, перелогинились и проблема решилась.

 

самое подозрительное что я смог найти: powershell_ise.exe_StrongName_lw2v2vm3wmtzzpebq33gybmeoxukb04w  размером ноль байт, в app data профиля, хотелось бы понимать конец это или нет... 

mike 1

mike 1

Опубликовано
Опубликовано

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

mike 1

mike 1

Опубликовано
Опубликовано

Этот компьютер чист и на нем я не вижу файлы, которые могли бы иметь отношение к шифровальщику.

ewil

ewil

Опубликовано
  • Автор
Опубликовано

Спасибо. Согласно вашему совету сейчас сделаю тему относительно второй беспокоящей меня машины.  

  • 1 месяц спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
×
×
  • Создать...