Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Вирус шифровальщик - все зашифровано с расширением *.Crypt

Va.all
 Поделиться

Рекомендуемые сообщения

Va.all

Va.all

Опубликовано
Опубликовано

Добрый день.

 

На рабочем сервере обнаружен вирус шифровальщик.

Нужно восстановить базы данных рабочих программ.

ВО вложении ЛОГ от сборщика.

Также файл требование +  зашифрованный файл.

 

CollectionLog-2017.01.08-12.54.zip

Фаил с требованием.rar

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Логи переделывайте после полной проверки KVRT. Сервер просто кишит вирусами. + Все ваши пароли уже у злоумышленников.

Изменено пользователем mike 1
Va.all

Va.all

Опубликовано
  • Автор
Опубликовано

Почистил компьютер KVRT. Дважды. Во второй раз вирусов не обнаружено.

Запустил сборщик логов.

Логи во вложении.

 

ЧТо мне делать дальше.


Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

CollectionLog-2017.01.08-16.54.zip

Оригинал и Зараженный.rar

mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('WindowsDefender');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Администратор)','64');
ExecuteSysClean;
end.
Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

Поищите другие типы файлов размером более 100 КБ.

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Va.all

Va.all

Опубликовано
  • Автор
Опубликовано

скан выполнен.

Во вложении лог.

 


Насчет других файлы размером более 100кб проблематично искать - они весят минимум 15-20 МБ. Сюда не влезут.

лог антивируса.txt

mike 1

mike 1

Опубликовано
Опубликовано

Загрузите файлы на Яндекс диск, а здесь дайте ссылку на файлы.
 
Удалите в MBAM все, кроме:
 

Процесс: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Модуль: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Раздел реестра: 4
PUP.Optional.RAAmmyy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AmmyyAdmin, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.951

Значение реестра: 1
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [371], [352776],1.0.951

Файл: 2622
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE, Проигнорировано пользователем, [371], [352776],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [371], [352776],1.0.951

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Va.all

Va.all

Опубликовано
  • Автор
Опубликовано

Добрый день.

Почистил.во вложении лог  антивируса + автолог.

Чистка от вирусов это конечно хорошо, но реально ли восстановить (дешифровать) файлы?

 

вот ссылка на оригинал и шифрованный - https://yadi.sk/d/VpV44RCn387kFD

CollectionLog-2017.01.10-09.39.zip

ЛОГ.txt

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Может и реально если файлы подходящие пришлете для подбора ключа.

 

Написал же что оставить, а что удалить, нет все равно делают все по своему.

 

Исполняемые файлы не нужны, ищите пару среди офисных документов, ярлыков или pdf файлов.

Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...