Перейти к содержимому


Фотография
- - - - -

Зловред .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1 OFF   pioner007

pioner007

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 06 March 2020 - 18:00

Словил данного зловреда через RDP на сервере 2008 R2. Kaspersky Endpoint Security 10 for Windows был включен. Утром в Пнд обнаружил не работающий 1С RemoteApp RDP файл, полез смотреть что на сервере и ужаснулся - на моих глазах в папках файлы меняли расширение на .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley. Я так в жизни никогда не бегал в серверную) Вырвал 220 из него, тем спас его дальнейшее заражение. Но, все же, часть данных была испорчена.

Что было сделано:

Сразу в инет - и попал на тему из этого топика понял, что у меня такая же беда.

Вынул HDD с сервака и пройдясб по каталогам удалил пакость. (один файл с вирусом предварительно запаковал) потом

Прогнал Kaspersky Virus Removal Tool 2015

При визуальном анализе диска увидел что папка c:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\

Содержит каталоги и подкаталоги но без единого файла. Выкошено все.

(к сожалению работу надо было возобновлять и сносить все и быстро подымать. Заниматься сбором логов на зараженной полу рабочей (после виря) системы не было времени.)

 

К сожалению не понятны слова модеров и консультантов:

Скорее всего заработали Phobos Ransomware. Расшифровки нет.

 

Пока НЕТ или вообще ЭТО нереально. Поясните пожалуйста.


Заметил что если были "скушаны" архивы больше чем 30мб из них частично можно достать файлы. Просто переименовываем в исходное расширение zip rar 7z делаем восстановление и уже 7z распаковываем (winrar ругается и не может распаковать. 7z распаковывает) Может кому то пригодится. И, да, большие файлы тоже частично он шифрует. Заголовок потерт и конец середина читаема.


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 06 March 2020 - 21:18

Пока НЕТ или вообще ЭТО нереально

Точнее вам ответят в вирлабе.

Почитайте:
https://www.bleeping...-adame-support/
https://id-ransomwar...ransomware.html
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных