Перейти к содержанию

Вирус! Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем

Valentin_Tickhonov
 Поделиться

Рекомендуемые сообщения

Valentin_Tickhonov

Valentin_Tickhonov

Опубликовано
Опубликовано

Добрый день! Вчера ночью вредители напакостили. На рабочем столе появился файл "Прочти!.txt" с таким содержанием: 

 

Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
При архивировании была включена опция безвозвратного удаления (перезапись нулями) исходных файлов.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем Вы можете обратиться к нам, написав на электронный адрес winrar@protonmail.com
В письме укажите свой ip адрес ххх.ххх.ххх.ххх
 
ещё обратил внимание в меню выполнить новая команда:  shutdown -s -t 25 -f 
 
 

CollectionLog-2015.07.21-19.45.zip

Ссылка на комментарий
Поделиться на другие сайты
Valentin_Tickhonov

Valentin_Tickhonov

Опубликовано
  • Автор
Опубликовано

c:\documents and settings\all users\drm\wa\wahiver.exe           вот тут этот скрипт был, но сейчас ничего не могу найти

 

и похоже вот тут прописывался c:\programdata\drm\svchost.exe   но и тут папки DRM то же нет.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 месяца спустя...
Владимир Казначеев

Владимир Казначеев

Опубликовано
Опубликовано

похожий случай произошёл у одного из клиентов.

wahiver - это не скрипт шифровки, а очень похоже вот на эту штуку http://waspace.net/

она сидела в двух местах. на файлах и папках стояли атрибуты скрытый и системный
один через подмену службы
http://162.243.36.230/uploads/2015_10_26_12_03_11.png

второй посажен в автозагрузку
http://162.243.36.230/uploads/2015_10_26_13_20_35.png

http://162.243.36.230/uploads/2015_10_26_13_14_29.png

вредители на полученных мощностях получают доп.заработок

 

также в winlogon был подсажен кейлоггер https://www.mipko.ru/personal-monitor/

http://162.243.36.230/uploads/2015_10_26_12_12_42.png

 

все эти программы собраны в архивчик. при необходимости могу выслать.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • sputnikk
      Как извлечь пароль администратора из файла бэкапа DIR-615?
      Автор sputnikk
      Роутером не пользовались лет 10, пароль доступа неизвестен.
      Если сбросить настройки то исчезает подключение к кабелю. Я не помню как настраивал родителям 10 лет назад или больше.
      Восстановил настройки из бэкапа. Там наверно есть пароль доступа к роутеру. Совет Копилота:
       
      Может есть способ проще?
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
×
×
  • Создать...