Перейти к содержимому


Фотография
- - - - -

Вирус-шифровальщик @readme.txt.fftn

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 3

#1 OFF   MoHcTpUk

MoHcTpUk

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 19 Сентябрь 2019 - 10:19

Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt

Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов.

 

В прикрепленном архиве содержится:

   readme.txt - записка о том, как расшифровать

   1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл

   1SACCS.CDX - файл, который вымогатели расшифровали

 

Есть ли способ расшифровать все файлы без выкупа?

Прикрепленные файлы

  • Прикрепленный файл  YYTO.rar   10,87К   скачиваний 1

Сообщение отредактировал MoHcTpUk: 19 Сентябрь 2019 - 10:21

  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 19 Сентябрь 2019 - 10:30

Здравствуйте!

Порядок оформления запроса о помощи
  • 0
Изображение

#3 OFF   MoHcTpUk

MoHcTpUk

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 20 Сентябрь 2019 - 09:01

Прикрепленные файлы


  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 20 Сентябрь 2019 - 09:08

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe');
 QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32');
 DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true);
 DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных