Dmitriy2018 Опубликовано 9 июля, 2018 Опубликовано 9 июля, 2018 Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика.. CollectionLog-2018.07.09-09.57.zip how_to_back_files.7z
Sandor Опубликовано 9 июля, 2018 Опубликовано 9 июля, 2018 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.
regist Опубликовано 9 июля, 2018 Опубликовано 9 июля, 2018 1) Логи сделаны в терминальной сессии, сделайте их из консоли. 2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы.
Dmitriy2018 Опубликовано 9 июля, 2018 Автор Опубликовано 9 июля, 2018 Логи переснял CollectionLog-2018.07.09-13.59.zip how_to_back_files.7z зашифрованные файлы.7z
Sandor Опубликовано 9 июля, 2018 Опубликовано 9 июля, 2018 Это GlobeImposter 2.0, расшифровки нет. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.
Ulvi Опубликовано 15 июля, 2018 Опубликовано 15 июля, 2018 добрый день. Какие то новости по шифровальщику уже есть? Можно ли восстановить файлы?
thyrex Опубликовано 15 июля, 2018 Опубликовано 15 июля, 2018 @Ulvi, 1. Нагло врываться в чужую тему не стоит 2. Расшифровки ни одной из версий GlobeImposter 2 нет
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти