Перейти к содержанию

Вирус! Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем


Рекомендуемые сообщения

Добрый день! Вчера ночью вредители напакостили. На рабочем столе появился файл "Прочти!.txt" с таким содержанием: 

 

Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
При архивировании была включена опция безвозвратного удаления (перезапись нулями) исходных файлов.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем Вы можете обратиться к нам, написав на электронный адрес winrar@protonmail.com
В письме укажите свой ip адрес ххх.ххх.ххх.ххх
 
ещё обратил внимание в меню выполнить новая команда:  shutdown -s -t 25 -f 
 
 

CollectionLog-2015.07.21-19.45.zip

Ссылка на комментарий
Поделиться на другие сайты

c:\documents and settings\all users\drm\wa\wahiver.exe           вот тут этот скрипт был, но сейчас ничего не могу найти

 

и похоже вот тут прописывался c:\programdata\drm\svchost.exe   но и тут папки DRM то же нет.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 months later...

похожий случай произошёл у одного из клиентов.

wahiver - это не скрипт шифровки, а очень похоже вот на эту штуку http://waspace.net/

она сидела в двух местах. на файлах и папках стояли атрибуты скрытый и системный
один через подмену службы
http://162.243.36.230/uploads/2015_10_26_12_03_11.png

второй посажен в автозагрузку
http://162.243.36.230/uploads/2015_10_26_13_20_35.png

http://162.243.36.230/uploads/2015_10_26_13_14_29.png

вредители на полученных мощностях получают доп.заработок

 

также в winlogon был подсажен кейлоггер https://www.mipko.ru/personal-monitor/

http://162.243.36.230/uploads/2015_10_26_12_12_42.png

 

все эти программы собраны в архивчик. при необходимости могу выслать.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Folclor
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Алексей Медек
      От Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • КираРи
      От КираРи
      Я не знаю что нужно прилагать и что должно быть, но вирус удалить или вылечить не смогла даже с помощью Dr. Web, ноутбук пыхтит даже когда не нагружен работой, помогите я не знаю что делать 
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
×
×
  • Создать...