Перейти к содержанию

Шифровальщик, расшифровка файлов


Рекомендуемые сообщения

Доброго времени суток!

На сервере были зашифрованы базы данных SQL и другие файлы, с добавлением расширения .wncry. В каждой папке письмо с содержанием:

 

WannaCry             Добрый день.

Ваши файлы, документы, фото, базы данных и все остальное НЕ УДАЛЕНЫ.
Они зашифрованы WannaCry самым надежным шифрованием.
Восстановить файлы НЕВОЗМОЖНО без нашей помощи.
Будете  пытаться  восстановить  файлы  самостоятельно- потеряете файлы
НАВСЕГДА.

----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail: helper@bitmessage.ch
 * сообщите Ваш ID и мы выключим произвольное удаление файлов
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)

 * высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию куда и сколько нужно заплатить.

2. оплачиваете и подтверждаете оплату.

3. после оплаты получаете программу ДЕШИФРАТОР. которой восстанавливаете ВСЕ ВАШИ ФАЙЛЫ.
----------------------------------------------------------

У Вас есть 72 часа на оплату.

Если не успеете за 72 часа оплатить, то цена расшифровки увеличивается в 2 раза.
Цена увеличивается в 2 раза каждые 72 часа.

Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 72 часов.
За подробными инструкциями обращайтесь e-mail: helper@bitmessage.ch

 * Если не будете терять время на попытки расшифровать, то сможете восстановить все файлы за час.
 * Если будете пытаться сами расшифровать- можете потерять Ваши файлы НАВСЕГДА.
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования


------------------ P.S. ---------------------------------
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH с указанием Вашей почты и
личного идентификатора и мы с Вами сами свяжемся.

Если у Вас нет биткойнов
оплата будет в bitcoin

приобрести вы их можете тут.  bestchange.ru
---------------------------------------------------------


Ваш Идентификатор:
4148509097088817305129024455614600164478974242728690124158459108982982553637343739075886943583749258
4049705261753889586382393096880770818177816970224589186933848149034182152236766590348566717118327381
8760746582246169398992689161586846584830636821438838351599893162982818995901275768539114367949909592
7118905841408241925520831429762353368384431899937467300595300196683081688493656999302387189681738436
3484134017684838541737142187070452030427630396153979593875757912462660908916162932674857081312975584
6568806245350998508425472206515117277659760504181472459696168128253685983967219580601622061057505772
791500730763078341


=========================================================

CollectionLog-2017.09.04-18.11.zip

Инструкция по восстановлению данных.TXT

Изменено пользователем iceberg31
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 StopService('wcvvses');
 StopService('wscsvs');
 QuarantineFile('C:\delfolder.bat', '');
 QuarantineFile('C:\ProgramData\Windows\svchost.bat', '');
 QuarantineFile('C:\ProgramData\Windows\svchost.VBS', '');
 QuarantineFile('C:\Users\krutko\Desktop\shutdown-r.cmd', '');
 QuarantineFile('C:\Users\operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk', '');
 QuarantineFile('C:\Users\osipchuk\AppData\Roaming\WS\svchost.vbs', '');
 QuarantineFile('c:\Windows\Fonts\csrss.exe', '');
 QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System\explorer.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Windows\svchost.bat');
 DeleteFile('C:\ProgramData\Windows\svchost.VBS');
 DeleteFile('C:\Users\operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk');
 DeleteFile('C:\Users\osipchuk\AppData\Roaming\WS\svchost.vbs', '32');
 DeleteFile('c:\Windows\Fonts\csrss.exe', '32');
 DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System\explorer.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTask" /F', 0, 15000, true);
 DeleteService('ServiceMains');
 DeleteService('wcvvses');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip\', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'run');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'svchost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

у вас тут и без щифровальщика заразы полно. Рассшифровкой в конце лечениям попробуем заняться.

Ссылка на сообщение
Поделиться на другие сайты

Новый вирус [KLAN-6758312635]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"


ссылка после загрузки карантина - https://virusinfo.info/virusdetector/report.php?md5=D434BAE336459897FE869EA62AA2A47D

 

 

За ранее спасибо!!!

CollectionLog-2017.09.04-23.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\program files (x86)\atol\fdservice\fdsvc.exe', '');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('C:\Program Files\Common Files\Microsoft Shared\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Перезагрузите компьютер вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

+

 

Проверьте этот файл на virustotal

c:\program files (x86)\atol\fdservice\fdsvc.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 
Ссылка на сообщение
Поделиться на другие сайты

Новый вирус [KLAN-6758694949]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
fdsvc.exe

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
settings.exe - not-a-virus:RiskTool.MSIL.Sidaweb.j

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

результат проверки файла fdsvc.exe - https://www.virustotal.com/ru/file/8e97e7412671b0c3d55ca217896b90ed4b1125524e917a5735839bbb31ff3416/analysis/1504564439/

 

 

Спасибо...

CollectionLog-2017.09.05-01.51.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


результат проверки файла fdsvc.exe - https://www.virustot...sis/1504564439/
Знакома вам эта программа?

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Ссылка на сообщение
Поделиться на другие сайты

fdsvc.exe - это программа, через которую работают у нас все кассовые аппараты, продукт принадлежит компании АТОЛ http://fiscal.atol.ru/

SRVSQL_2017-09-05_10-04-53.7z

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    BREG
    ;---------command-block---------
    zoo %SystemRoot%\FONTS\ANQN.EXE
    delall %SystemRoot%\FONTS\ANQN.EXE
    zoo %SystemDrive%\USERS\REMOTE\APPDATA\ROAMING\GUIDE.EXE
    delall %SystemDrive%\USERS\REMOTE\APPDATA\ROAMING\GUIDE.EXE
    apply
    
    czoo
    restart
    
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

Поищите пару файлов зашифрованный и незашифрованный.

Ссылка на сообщение
Поделиться на другие сайты

Первые 5 пунктов выполнить в данный момент не можем, т.к. сервер перегружать до 22:30 MSK нельзя (работают кассовые аппараты). Остальные пункты выполнили, отчёты и образцы файлов прилагаем.

 

Спасибо...

Примеры файлов.7z

Отчёты.7z

Ссылка на сообщение
Поделиться на другие сайты

1)

C:\Users\osipchuk\Desktop\SETTINGS.EXE

Этот файл вам знаком?

 

2)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1237637076-2234111549-4185182001-1208\...\Run: [{7D73A098-9D3E-4300-FD76-16E17F88C5D9}] => C:\Users\remote\Инструкция по восстановлению данных.TXT [6340 2017-09-03] ()
    HKU\S-1-5-21-1237637076-2234111549-4185182001-1208\...\RunOnce: [{7D73A098-9D3E-4300-FD76-16E17F88C5D9}] => C:\Users\remote\AppData\Roaming\guide.exe
    IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\anqn.exe
    S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
    S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
    S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
    S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
    2017-09-03 02:56 - 2017-09-03 02:56 - 000006340 _____ C:\Users\remote\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\Администратор\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\sysoev\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\sysoev\Desktop\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\SQL Server Distributed Replay Controller\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\SQL Server Distributed Replay Client\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\soft\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\soft\Desktop\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\operator\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\operator\Desktop\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\onuchin\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\onuchin\Desktop\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$SQLEXPRESS\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$MSSQL\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$MICROSOFT##WID\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\krutko\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\krutko\Desktop\Инструкция по восстановлению данных.TXT
    2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\Default\Инструкция по восстановлению данных.TXT
    2017-09-03 02:00 - 2017-09-03 02:56 - 000006340 _____ C:\Users\remote\Desktop\Инструкция по восстановлению данных.TXT
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагрузите вручную.

 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

А можно данную процедуру выполнить без перезагрузки компьютера, т.к. как писал ранее, сейчас нет возможности перезагрузить сервер?

 

C:\Users\osipchuk\Desktop\SETTINGS.EXE - это программа для управления автозагрузкой, удалили данный файл

Изменено пользователем iceberg31
Ссылка на сообщение
Поделиться на другие сайты

 

 


как писал ранее, сейчас нет возможности перезагрузить сервер?
Выполните попозже :).

Инструкцию по рассшифровке потом получите в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Реально можно будет восстановить файлы? Смогу перезагрузить только после 22:30 MSK, Вы сможете оказать помощь в столь поздний час?

Ссылка на сообщение
Поделиться на другие сайты

Инструкцию отправил в ЛС.

 

папку C:\FRST удалите.

 

Создайте точку восстановления.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Пользователь ПК
      От Пользователь ПК
      Здравствуйте!
      В мае 2017 г. комп пострадал от атаки вируса WannaCry. Осталось большое количество зашифрованных файлов, личных и по работе. Очень бы хотелось их восстановить.
      Сканирование AVZ и Farbar Recovery Scan Tool выполнил. Образцы здорового и зашифрованного файлов прилагается.

      Заранее спасибо огромное за помощь и понимание!!!
      CollectionLog-2017.10.12-18.56.zip
      FRST_Addition.zip
      Files.zip
×
×
  • Создать...