michael.sidorovich 0 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Добрый день. У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. После выбора файлов для загрузки нужно нажать кнопку "загрузить" Цитата Ссылка на сообщение Поделиться на другие сайты
michael.sidorovich 0 Опубликовано 23 февраля, 2019 Автор Share Опубликовано 23 февраля, 2019 (изменено) перезагрузил лог файл CollectionLog-2019.02.23-13.01.zip Изменено 23 февраля, 2019 пользователем michael.sidorovich Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe'); QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe',''); DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32'); DeleteFile('C:\Windows\winstart.bat','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32'); DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32'); DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
michael.sidorovich 0 Опубликовано 25 февраля, 2019 Автор Share Опубликовано 25 февраля, 2019 после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться.. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно. Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.