crysis Шифровальщик [panama777@cock.li] *.Acuf2

[w3bmak3r]

Здравствуйте, на сервер терминалов залез шифровальщик.

Базы 1с и много системных файлов после шифрования получили название .id-6ADBCC23.[panama777@tutanota].Acuf2

В каждом каталоге лежит файл FILES ENCRYPTED.txt со след. содержанием:

all your data has been locked us

You want to return?

Write email panama777@tutanota or panama777@cock.li

 

 

Войти в систему могу только в безопасном режиме.

 

KVRT и Dr.Web CureIT, к сожалению, ничего не обнаружили.

лог собрал, буду признателен за помощь.

Так же могу выложить 2 файла до и после поражения.

CollectionLog-2019.08.01-16.50.zip

[thyrex]

Здравствуйте.

 

Увы, с расшифровкой не сможем помочь. Будет только зачистка мусора.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe','');
 QuarantineFile('C:\Windows\System32\rdh.exe','');
 DeleteFile('C:\Windows\System32\rdh.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[w3bmak3r]

@thyrex, спасибо, на выходных скину новые логи и отправлю файлы в карантин.

Не подскажите как называется этот чудо шифровальщик?

[thyrex]

Dharma (CrySis)