Перейти к содержанию

Better_call_saul Все очень плохо.


Рекомендуемые сообщения

Доброго времени суток. Сотрудник открыл почту и запустил ".rar" файл. Далее по его словам пошла установка. По итогу  на следующий день обратились ко мне, когда на компьютере были зашифрованы все диски включая два сетевых.

 

Текст README1.

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
93A68DFF3FD7709A1160|430|3|10
на электронный адрес Korzhenevskiy.Kirsan@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:

У пользователя стоит Антивирус Касперского 6.0 для Windows Workstations 6 (имеется пакет для установки KES 10, с лицензией, но не был установлен) Подключен к групповой политике, в которой включен  почтовый антивирус, но с рекомендуемым уровнем безопасности... наверное нужно было ставить Глубокий. 
На сервере администрирования стоит Kaspersky Security Center. 

Addition.txt

FRST.txt

KL_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README9.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README8.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README7.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README6.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README5.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README4.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README3.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README2.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README10.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README1.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README9.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README8.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README7.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README6.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README5.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README4.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README3.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README2.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README10.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README1.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README9.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README8.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README7.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README6.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README5.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README4.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README3.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README2.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README10.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README1.txt
2016-03-30 16:54 - 2016-03-31 10:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-30 16:54 - 2016-03-31 10:58 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Полностью согласен. 
Кстати совсем вылетело из головы... сетевые диски тоже ведь были зашифрованы, но не полностью.
Сейчас на сервере имеется небольшая часть зашифрованных данных, это именно те, которые были расшаренны на организацию. 
Есть возможность заражения всего сервера? Мне кажется, что нет...вот верно ли это?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jafar_e
      От Jafar_e
      Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
      К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
      В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.
      pass: virus
      Mimik.zip
    • couitatg
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Stillegoth
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • Naicer
      От Naicer
      недавно скачал обход дс и ютуба от peekbot и после у меня закачался этот майнер и +троян удалив он восстанавливается пробовал смотреть в автозагрузках его там нет, но у меня не открывается "планировщик задач" полагая из-за трояна очень нужна помощь   
    • blackleoninc
      От blackleoninc
      Коллеги, подскажите, у меня на разных компьютерах безумно медленная работа kaspersky password manager. Ввожу мастер пароль и kpm может 30, может 90 секунд висеть. Иногда висит пока не перезапустишь, в чем может быть проблема?
×
×
  • Создать...