Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались файлы doc, xls на сервере

kcpr.krsk
 Поделиться

Рекомендуемые сообщения

kcpr.krsk

kcpr.krsk

Опубликовано
Опубликовано (изменено)

На локальной машине пользователь по-видимому открыл подозрительное письмо. Позже на машине и в сети еще на одной машине и на двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.


На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   


На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)


Ниже лог с одного из серверов.


Можно ли включать сервер?


CollectionLog-2017.01.18-21.21.zip

Изменено пользователем kcpr.krsk
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Логи получились некорректные. Переделайте, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Нужно ли ставить галку "90 day files"?

Нет. При создании логов антивирус отключаете?
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

kcpr.krsk

kcpr.krsk

Опубликовано
  • Автор
Опубликовано

Здравствуйте. 

Компьютер сам пошел в перезагрузку. Выдал какую-то ошибку. Загрузился нормально.

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...