Перейти к содержанию

Поймали шифровальщик *.lol Возможно-ли расшифровать?

_Пэ_
 Share Подписчики 0

Рекомендуемые сообщения

_Пэ_

_Пэ_ 0

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol

Лог во вложении.

CollectionLog-2018.12.20-13.18.zip

Изменено пользователем _Пэ_
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O22 - Task: \Microsoft\Windows\Windows Server Essentials\BPA Scheduled Scan - C:\Windows\system32\windowspowershell\v1.0\powershell.exe -EncodedCommand SQBuAHYAbwBrAGUALQBXAHMAcwBCAHAAYQBTAGMAYQBuAA== -NoLogo -NoProfile -NonInteractive
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat

 

после этого сделайте свежие логи Автологером.


и почему логи делали из безопасного режима? Свежие логи сделайте из обычного.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Сами вместо DNS прописали 127.0.0.1 ?

Radmin - как понимаю ваш?

C:\HELP HELP HELP.TXT

и пример зашифрованного файла прикрепите к сообщению.

 

 

+

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 


PS. это вариация Scarab, так что шансов не очень много. Только если он не до конца отработал.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...