Шифрованные файлы unCrypt@INDIA.COM

[Goajin]

Добрый день!

Случилась неприятность, на сервере Domino Lotus большое кол-во файлов оказались зашифрованы и имеют названия типа unCrypt@INDIA.COM_(далее буквенно-цифровое продолжение), соответственно корректного доступа к файлам нет.

В папках сервера созданы файлы Readme.hta (более 5000 шт), где предлагается заплатить денежков для решения этой проблемы.

 

сделал проверку Dr.Web CureIt отчет во вложении (пока не лечил)

 

Ознакомившись с темами форума обнаружил один а один мою проблему.(https://forum.kasperskyclub.ru/index.php?showtopic=54241)

 

вкладываю логи AutoLogger, FRST

 

Надеюсь с вашей помощью выйти из этой ситуации с наименьшими потерями.

 

 

 

 

Addition.rar

CollectionLog-2017.01.31-12.57.zip

Dr.Web cureit.rar

FRST.rar

Readme.rar

Shortcut.rar

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\sergey\AppData\Local\Temp\D27DE356-C9F3533F-5C5C1F6A-3BBF2C7E\ocd95FL3kg.exe');
 QuarantineFile('C:\Users\sergey\AppData\Local\Temp\D27DE356-C9F3533F-5C5C1F6A-3BBF2C7E\ocd95FL3kg.exe', '');
 QuarantineFileF('C:\Users\sergey\AppData\Local\Temp\D27DE356-C9F3533F-5C5C1F6A-3BBF2C7E\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\sergey\AppData\Local\Temp\D27DE356-C9F3533F-5C5C1F6A-3BBF2C7E\ocd95FL3kg.exe', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.