Перейти к содержанию

Вирус! Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем


Рекомендуемые сообщения

Добрый день! Вчера ночью вредители напакостили. На рабочем столе появился файл "Прочти!.txt" с таким содержанием: 

 

Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
При архивировании была включена опция безвозвратного удаления (перезапись нулями) исходных файлов.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем Вы можете обратиться к нам, написав на электронный адрес winrar@protonmail.com
В письме укажите свой ip адрес ххх.ххх.ххх.ххх
 
ещё обратил внимание в меню выполнить новая команда:  shutdown -s -t 25 -f 
 
 

CollectionLog-2015.07.21-19.45.zip

Ссылка на комментарий
Поделиться на другие сайты

c:\documents and settings\all users\drm\wa\wahiver.exe           вот тут этот скрипт был, но сейчас ничего не могу найти

 

и похоже вот тут прописывался c:\programdata\drm\svchost.exe   но и тут папки DRM то же нет.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 months later...

похожий случай произошёл у одного из клиентов.

wahiver - это не скрипт шифровки, а очень похоже вот на эту штуку http://waspace.net/

она сидела в двух местах. на файлах и папках стояли атрибуты скрытый и системный
один через подмену службы
http://162.243.36.230/uploads/2015_10_26_12_03_11.png

второй посажен в автозагрузку
http://162.243.36.230/uploads/2015_10_26_13_20_35.png

http://162.243.36.230/uploads/2015_10_26_13_14_29.png

вредители на полученных мощностях получают доп.заработок

 

также в winlogon был подсажен кейлоггер https://www.mipko.ru/personal-monitor/

http://162.243.36.230/uploads/2015_10_26_12_12_42.png

 

все эти программы собраны в архивчик. при необходимости могу выслать.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • 577kar
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • gin
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • K0st
      От K0st
      Здравствуйте! Обнаружили запароленные данные. Архивы по нескольку десятков ГБ. Базы 1С и всё такое. В корне файл с описанием выкупа. Как можно распаковать и всё вернуть?
    • Сергей194
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
×
×
  • Создать...