Dmitriy2018 0 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика.. CollectionLog-2018.07.09-09.57.zip how_to_back_files.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 1) Логи сделаны в терминальной сессии, сделайте их из консоли. 2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы. Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitriy2018 0 Опубликовано 9 июля, 2018 Автор Share Опубликовано 9 июля, 2018 Логи переснял CollectionLog-2018.07.09-13.59.zip how_to_back_files.7z зашифрованные файлы.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Это GlobeImposter 2.0, расшифровки нет. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 добрый день. Какие то новости по шифровальщику уже есть? Можно ли восстановить файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 @Ulvi, 1. Нагло врываться в чужую тему не стоит 2. Расшифровки ни одной из версий GlobeImposter 2 нет Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.