Сообщений в теме: 3

[w3bmak3r]

Здравствуйте, на сервер терминалов залез шифровальщик.

Базы 1с и много системных файлов после шифрования получили название .id-6ADBCC23.[panama777@tutanota].Acuf2

В каждом каталоге лежит файл FILES ENCRYPTED.txt со след. содержанием:

all your data has been locked us

You want to return?

Write email panama777@tutanota or panama777@cock.li

 

 

Войти в систему могу только в безопасном режиме.

 

KVRT и Dr.Web CureIT, к сожалению, ничего не обнаружили.

лог собрал, буду признателен за помощь.

Так же могу выложить 2 файла до и после поражения.

Прикрепленные файлы

•  CollectionLog-2019.08.01-16.50.zip   47,06К   скачиваний 1

[thyrex]

Здравствуйте.

Увы, с расшифровкой не сможем помочь. Будет только зачистка мусора.

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe','');
 QuarantineFile('C:\Windows\System32\rdh.exe','');
 DeleteFile('C:\Windows\System32\rdh.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[w3bmak3r]

thyrex, спасибо, на выходных скину новые логи и отправлю файлы в карантин.

Не подскажите как называется этот чудо шифровальщик?

[thyrex]

Dharma (CrySis)