возможно procrustes Шифровальщик зашифровал все файлы

[dimanm]

Добрый день. Поймали вирус-шифровальщик на сервер. Все данные превратились в цифровую тыкву. Есть какие то шансы на расшифровку?

Файлы.zip FRST.txt

[safety]

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте ответы по сканированию, в архиве , без пароля.

Если был найден сэмпл шифровальщика, добавьте данный файл в архиве, с паролем virus

+

добавьте файл Addition.txt из логов FRST, так же необходим для анализа.

Изменено 7 часов назад пользователем safety

[dimanm]

Прогнал диски CureIt`ом. Он не нашел зловредов

cureit.rar

[safety]

There are no infected objects detected
Scan time is 00:08:25.980

Хорошо, нужен лог Addition.txt, чтобы проверить детекты в Windef

+

Для дополнительного анализа проверьте ЛС

Изменено 7 часов назад пользователем safety

[dimanm]

Как получить файл Addition.txt? Он у меня не создается. Загрузился в режиме восстановления и оттуда запускаю FRST

[safety]

Да, из режима восстановления выходит только один файл - FRST.txt

А в нормальном режиме сервер загружается?

Изменено 5 часов назад пользователем safety

[dimanm]

 В режиме восстановления нет опции создавать файл Addition. А при нормальной загрузке Windows (он со скрипом и очень неправильно загружается, черный экран и практически нет возможности запускать программы) Утилита запускается с ошибкой и закрывается.

[safety]

А в безопасный режим загружается?

[dimanm]

В безопасном режиме загружается. Там запускал FRST, но там нет опции создавать файл Addition.

[safety]

Он автоматически создастся, вместе с FRST.txt

[dimanm]

В безопасном режиме при нажатии кнопки Сканировать, утилита закрывается(((

[safety]

Пробуйте сделать  образ автозапуска в uVS из безопасного режима системы

 

Сделайте новый образ автозапуска

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 4 часа назад пользователем safety

[safety]

@Alex955. создайте отдельную новую тему в данном разделе, не пишите в чужой теме.