Перейти к содержанию

akoK

Консультанты
  • Публикаций

    2 034
  • Зарегистрирован

  • Посещение

  • Победитель дней

    8

Other groups

Старожилы

akoK стал победителем дня 11 августа 2020

akoK имел наиболее популярный контент!

Репутация

124

Информация о akoK

  • Статус
    Ёж птица гордая.
  • День рождения 5 января

Контакты

  • Сайт
    https://safezone.cc
  • ICQ
    0

Информация

  • Пол
    Мужчина

Посетители профиля

9 835 просмотров профиля
  1. Тогда, скорее всего, неправильно определена точка входа преступников. Если шифровались только шары, то нужно искать полностью зашифрованную систему с выходом в сеть через RDP
  2. Посмотрел по диагонали, ничего вредоносного не увидел. Обновляйте ПО на сервере и сам скрипт до последних версий. И занимайтесь защитой от ботов и спама + займитесь кешированием. Если кеширование, это сложно то подключите прокси от cloudflare.com
  3. Сами настраивали? HKLM Group Policy restriction on software: GWXUXWorker.exe <==== ВНИМАНИЕ HKLM Group Policy restriction on software: GWXConfigManager.exe <==== ВНИМАНИЕ HKLM Group Policy restriction on software: GWXGC.exe <==== ВНИМАНИЕ HKLM Group Policy restriction on software: GWXUX.exe <==== ВНИМАНИЕ HKLM Group Policy restriction on software: gwx.exe <==== ВНИМАНИЕ Судя по логам, записки вымогателя вы сами почистили, или шифровало только в сетевых папках?
  4. Это crylock 2.0.0.0, расшифровки для него нет. Система под переустановку или будем чистить хвосты?
  5. Посмотрел логи, у вас там Windows Server (R) 2008, вам бы обновиться до актуальной версии ОС. А пока проверьте список пользователей на сервере, нет ли лишних администраторов.
  6. Это crylock 2.0.0.0, расшифровки для него нет. Система под переустановку или почистим хвосты? И смените пароли на RDP.
  7. Для этого шифровальщика нет возможности расшифровать данные. Систему под переустановку или будем смотреть логи?
  8. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG ; C:\PROGRAMDATA\FLOCK\FLOCK.EXE bl 62076DE7123270E00656CBB60A4DA467 97824 zoo %SystemDrive%\PROGRAMDATA\FLOCK\FLOCK.EXE czoo restart В uVS выберите пункт меню "Скрипт" =&
  9. Упакуйте файл C:\PROGRAMDATA\FLOCK\FLOCK.EXE в архив с паролем virus, залейте на файообменник и отправьте мне ссылку в личном сообщении
  10. Пока зловред в процессе изучения, очень уж он живуч.
  11. Попробуем еще так проверить. Запустите поиск FRST c параметрами SearchAll:Flock;Flock.* и прикрепите результат сканирования (Search.txt) к следующему посту. Инструкция
  12. Упакуйте папку с содержимым (где антивирус находит вредоносное ПО) и в зависимости от размера сюда или на файлообменник с паролем virus. Возможно придется приостановить защиту антивируса дабы он не удалял объекты, чтоб можно было их сохранить.
×
×
  • Создать...