Перейти к содержанию

Зашифровали сервер

w3r3wolf
 Share Подписчики 1

Рекомендуемые сообщения

w3r3wolf

w3r3wolf 0

Опубликовано
Опубликовано

Добрый день!

На нашем сервере зашифрованы файлы при помощи: HEUR:Trojan-Ransom.Win32.Agent.gen

Созданы файлы: [PedantBack@protonmail.com].pQPCtSzc-U0lAaLH8.PEDANT

Информацию прикрепил с Farbar Recovery Scan Tool

inform.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Начните со стандартных логов по правилам: Порядок оформления запроса о помощи

 

Записку с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Reimage Repair

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Перезагрузите компьютер вручную.

 

Тип вымогателя Matrix. Расшифровки нет, к сожалению.

 

Смените важные пароли, в т.ч. на RDP и программы удалённого доступа.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • W32neshuta
      Помощь в расшифровке
      От W32neshuta
      словил шифровальщик bitcoin@email.tg
      29.02.2020 файлы были зашифрованы.
      на комп заходили по RDP и Anydesk.
       
      pack.zip
      CollectionLog-2020.03.02-11.14.zip
    • ВячеславККК
      шифровальщик id-222CC5A1.[cryptocash@aol.com].CASH
      От ВячеславККК
      похожая ерунда случилась. файлы зашифрованы с расширением id-222CC5A1.[cryptocash@aol.com].CASH
      есть какая то вероятность расшифровки? и какая нибудь утилита для проверки на предмет самого шифровальшика? где его искать если он ещё где то есть в системе


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63822
    • Horoshii
      Шифровальщик CRYPTED000007
      От Horoshii
      Здравствуйте!

       

      Прошу помочь в борьбе с вирусом и расшифровать файлы.

      После заражения компьютера типы файлов стали CRYPTED00007.

      в файле README.txt указана почта злоумышленников.

      Прикрепляю файлы и так же лог работы xoristdecryptor.

      вирус.rar
    • Dysyndyst
      WNCRY.exe
      От Dysyndyst
      Здравствуйте, проблема такая же как и у  всех,
    • Хитаров_Тимур
      Шифровальщик Trojan.Encoder.858 (Dr Web Cureit)
      От Хитаров_Тимур
      Здравствуйте! Подобная тема уже есть, но там нет ответа https://forum.kasperskyclub.ru/index.php?showtopic=54027. Суть проблемы такая же. Тех поддержка Dr Web написала что это вирус Trojan.Encoder.858. Зашифровал все файлы Word-овские документы. Корпоративная сеть с файловым севером и 33 станциями имеющим к нему допуск. Где славила как обычно не признается.
      1. В текст. файле Readme1 (Таких по системе накидал полно) сообщение вымогателя.
      2. Log 09.26 Выполнял на файловом сервере.
      3. Log 10.28 Выполнен на зараженной станции.
      3. Так же высылаю Скрин найденных вирусов Куреитом выполненный на зараженном ПК .
      4. В ПАПКЕ ВИРУСЫ НАЙДЕННЫЕ НА ПК ВИРУСЫ!
      5. Текстовый файл отчет Куреита с Сервера.
          Я так понимаю, что этот шифровальщик удалился уже. (Или нет?)
          В общем мне нужен ваш совет и ваша помощь.
      1. Включать ли мне сеть обратно? (Доступ к серваку)
      2. Остался ли какой нибудь вирус в сети? Как он вообще распостраняется.
      3. Ну и любому совету буду рад.
       
      К первому письму. Отчет Куреита и скрин проверки Куреита
      CollectionLog-2017.01.18-10.28.zip
      CollectionLog-2017.01.18-09.26.zip
      README1.txt
      Картинка и Куреит.zip
×
×
  • Создать...