Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Шифровальщик veracrypt@foxmail

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 13

#1 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 14 Июнь 2019 - 07:06

Здравствуйте, уважаемые форумчане, прошу помочь с расшифровкой файлов

Утром при при входе в учётку сервера обнаружил сообщение с требованием денег и зашифрованными файлами

Логи во вложении.


Так же могу приложить тело вируса. Лежал в учётке пользователя appdata\roaming\

Пароль к архиву "123321"

Прикрепленные файлы


Сообщение отредактировал SQ: 14 Июнь 2019 - 13:23
Удалил вредоносные файлы

  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 14 Июнь 2019 - 07:42

С расшифровкой помочь не сможем. Будет только зачистка мусора.

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, SigCheckExt и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 14 Июнь 2019 - 11:45

Спасибо и на этом, кстати ни CureIT, ни KVRT этого товарища не видят, плюс к тому он ещё  и в автозагрузке селится.


Последние обновленные --

Спасибо и на этом, кстати ни CureIT, ни KVRT этого товарища не видят, плюс к тому он ещё  и в автозагрузке селится.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора.

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, SigCheckExt и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

Вот они логи из FRST

Последние обновленные --


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 14 Июнь 2019 - 11:58

Логи прикрепляют к сообщению, используя кнопку Расширенная форма.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 14 Июнь 2019 - 13:48

Логи прикрепляют к сообщению, используя кнопку Расширенная форма.

 

 

Спасибо, буду иметь ввиду.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   39,74К   скачиваний 0
  • Прикрепленный файл  FRST.txt   252,57К   скачиваний 2

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 14 Июнь 2019 - 17:30

(ATTENTION: The user is not administrator)

 

Переделывайте


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 15 Июнь 2019 - 03:32

Переделано.

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   264,89К   скачиваний 2
  • Прикрепленный файл  Addition.txt   98,28К   скачиваний 0

  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июнь 2019 - 07:52

1. Выделите следующий код:
Start::
CreateRestorePoint:
Task: {F4D828BD-58FB-4573-98C8-15F2D551A1E5} - System32\Tasks\WinHostStartForMachine => C:\ProgramData\winhost.exe <==== ATTENTION
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 15 Июнь 2019 - 09:04

Новый лог.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,21К   скачиваний 1

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июнь 2019 - 10:54

Больше помочь нечем.
  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 15 Июнь 2019 - 10:58

Больше помочь нечем.

Спасибо!


  • 0

#12 OFF   Leon3535

Leon3535

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 17 Июнь 2019 - 11:53

Здравствуйте ещё раз. Хотел уточнить на будущее, появится ли данный шифровальщик в базах антивирусов и как нам защититься от этого в будущем (предупреждения, штрафы и антивирусы не помогают)?


  • 0

#13 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 17 Июнь 2019 - 13:23

В этом разделе форума отвечают простые пользователи-добровольцы, о возможностях вирлаба нам ничего не сообщают.

Теоретически данный вариант давно должен быть в базах антивируса.

 

Время шифрования вечернее и явно не рабочее. Так что проблема не в пользователях, а в админе, который не заботится об элементарных правилах информационной безопасности и раздает пользователям простые пароли от RDP, через который к Вам и попали, сбрутив пароль.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 19 Июнь 2019 - 20:24

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных