Перейти к содержанию

Trojan.Encoder.741 - троян зашифровал файлы

gamernet
 Share Подписчики 0

Рекомендуемые сообщения

gamernet

gamernet 0

Опубликовано
Опубликовано

На операционной системе Windows 2003 Server троян зашифровал файлы и теперь они имеют вид:

email-agent.vayne@india.com.ver-CL 1.2.0.0.id-LDPATEOZJUFPBLWGRCLWHRCNXISDNXITDOYJ-31.07.2016 7@44@38915709.randomname-ATFPQBMXJUFQBMXITEPALWHSDOZKVG.YKU.cbf

 

Я полагаю, что это Trojan.Encoder.741

 

Чем можно расшифровать файлы?

 

Как можно убрать надпись с рабочего стола о том, что необходимо отослать на почту образец?

 

(качал rectordecryptor.exe и RannohDecryptor.exe - к сожалению не помогли)

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Нет, это другой шифровальщик.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

 

Как удалить банер?

Логи Автологгером сделайте и прикрепите к сообщению.

 

 

 

а какой именно? 

Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl

Ссылка на сообщение
Поделиться на другие сайты
gamernet

gamernet 0

Опубликовано
  • Автор
Опубликовано

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

 

По поводу Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl ничего дельного не нашел. Нашел кривую утилиту под названием RannohDecryptor.zip , в ней указано: укажите зашифрованный файл и оригинал... Гдеж я возьму оригинал, если он зашифрованный ))) Если будет оригинал, зачем мне тогда утилита для расшифровки )) Улыбнуло...

 

Есть варианты по расшифровке такого типа файлов?

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

 

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

Сделайте тогда этот лог. uVS перезагрузка не требуется.

 

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  •  
 
Ссылка на сообщение
Поделиться на другие сайты
gamernet

gamernet 0

Опубликовано
  • Автор
Опубликовано

Прикрепил файл. Действительно, сама программа упаковала файлы.

 

П.С. А можно как-то хотя-бы остановить процесс заражения? Ничего на сервере не делал (не удалял ничего). Боюсь что файлы по прежнему заражаются. И какие следующие действия мне необходимо предпринять?

SERVER_2016-08-02_13-40-35.7z

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Папку C:\USERS\БУХГАЛТЕР\APPDATA\ROAMING\INTEL удалите вручную.

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
gamernet

gamernet 0

Опубликовано
  • Автор
Опубликовано

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

 

2 файла прикрепил ниже.

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

Точно. 

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C Предприятие.lnk [2016-07-02]
ShortcutTarget: 1C Предприятие.lnk -> C:\Users\Администратор\AppData\Roaming\Intel\srvany.exe (No File)
2016-07-31 07:47 - 2016-07-31 07:47 - 00927422 _____ C:\Users\Бухгалтер\AppData\Local\Temp\desk.bmp
2016-07-31 07:44 - 2016-07-31 07:47 - 00000079 _____ C:\Users\Бухгалтер\AppData\Local\Temp\PMGCDDYLMW.IMX
Folder: C:\Users\Бухгалтер\AppData\Local\Temp\
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на сообщение
Поделиться на другие сайты
gamernet

gamernet 0

Опубликовано
  • Автор
Опубликовано

На рабочий стол не создался архив. Только в директории Fixlog.txt, который прикрепил ниже.


Папку Intel не удается удалить. На данном сервере через RDP сидят пользователи. Надпись на рабочем столе появилась у пользователя Бухгалтер. У нее та как раз и зашифровались файлы. Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе. (Не знаю, может это важно...)

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

 

 

Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе.

Процесс завершите, а потом попробуйте удалить папку. Если не получится, то придется скриптом убивать, но потребуется перезагрузка сервера. Еще спросите у бухгалтера, что она запускала 31 июля в 7:40 утра? 

Ссылка на сообщение
Поделиться на другие сайты
gamernet

gamernet 0

Опубликовано
  • Автор
Опубликовано

А как расшифровать файлы?

Бухгалтер ничего не запускал в такое время, так как у нее рабочий день с 09:00 и охрана пропускает только с 08:00 в здание.

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Значит к вам удаленно зашли через RDP. В логах сервера смотрите что запускали. Без помощи злодеев на данный момент никак.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...