scarab Поймали шифровальщик *.lol Возможно-ли расшифровать?

20 декабря, 2018

Здравствуйте.

Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol

Лог во вложении.

CollectionLog-2018.12.20-13.18.zip

Изменено 20 декабря, 2018 пользователем _Пэ_

20 декабря, 2018

O22 - Task: \Microsoft\Windows\Windows Server Essentials\BPA Scheduled Scan - C:\Windows\system32\windowspowershell\v1.0\powershell.exe -EncodedCommand SQBuAHYAbwBrAGUALQBXAHMAcwBCAHAAYQBTAGMAYQBuAA== -NoLogo -NoProfile -NonInteractive
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat

после этого сделайте свежие логи Автологером.

и почему логи делали из безопасного режима? Свежие логи сделайте из обычного.

21 декабря, 2018

из безопасного - потому, что из обычного не запускается..

CollectionLog-2018.12.21-10.31.zip

21 декабря, 2018

Сами вместо DNS прописали 127.0.0.1 ?

Radmin - как понимаю ваш?

C:\HELP HELP HELP.TXT

и пример зашифрованного файла прикрепите к сообщению.

+

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

21 декабря, 2018

ДНС - нет.

Радмин - да

Сами вместо DNS прописали 127.0.0.1 ?

Radmin - как понимаю ваш?

https://yadi.sk/d/qQaSL8cj1G8Vbg

HELP HELP HELP.TXT

21 декабря, 2018

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

PS. это вариация Scarab, так что шансов не очень много. Только если он не до конца отработал.

21 декабря, 2018

Спасибо, уже создал. Надеюсь помогут.

scarab Поймали шифровальщик *.lol Возможно-ли расшифровать?

Рекомендуемые сообщения

_Пэ_

regist

_Пэ_

regist

_Пэ_

regist

_Пэ_

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum