Drom 0 Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Добрый день вчера пришел вордовский документ с вложением, после открытия которого 1 ПК и половина файлообменника (тот диск который был доступен для этого ПК зашифровало doc и excel) На пк ничего ценного не было, а вот с сервером большая проблема. (Были включены теневые копии) Лог с сервака прикладываю. На данный момент сервак находится в безопасном режиме (идет проверка kvrt) CollectionLog-2017.02.28-14.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Drom 0 Опубликовано 1 марта, 2017 Автор Share Опубликовано 1 марта, 2017 Ребят я понимаю что с расшифровкой данной заразы Вы мне сейчас не поможете, помогите проверить осталась она на серваке еще или нет..... И еще 1 вопрос мб не совсем в тему НО данная гадость пока искали ПК с которого идет заражение успела пошифровать половину файлов .doc и .excel на одном из файлобменников сервака, остальные не тронула или не успела так же были частично удалены теневые копии этого диска (остались лиш 2 последние, после того как файлы уже были зашифрованы) Чисто теоретически возможна ли восстановление теневой копии более ранней версии? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 Здравствуйте! Чтобы удалить возможные следы, нужны логи с ПК, на котором вымогатель был запущен, а не с сервера. Цитата Ссылка на сообщение Поделиться на другие сайты
Drom 0 Опубликовано 1 марта, 2017 Автор Share Опубликовано 1 марта, 2017 Прикрепляю файл непосредственно с зараженной машины. CollectionLog-2017.03.01-14.19.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Drom 0 Опубликовано 1 марта, 2017 Автор Share Опубликовано 1 марта, 2017 Сделано Addition.txt ClearLNK-01.03.2017_15-41.log FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: Startup: C:\Users\Mihaylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU2D8-32XRH-HAKTX-RHREE-THRKR-HTXZX-AZTFH-OXETX-KROZY.html [2017-02-28] () HKU\S-1-5-21-3429369359-2408895556-3693955657-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=profitraf3 SearchScopes: HKU\S-1-5-21-3429369359-2408895556-3693955657-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear2 2017-03-01 10:04 - 2015-03-07 14:06 - 00000000 ____D C:\Users\Mihaylov\AppData\Local\IObit installer Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Drom 0 Опубликовано 1 марта, 2017 Автор Share Опубликовано 1 марта, 2017 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 На этом все. Можете проверить уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Drom 0 Опубликовано 1 марта, 2017 Автор Share Опубликовано 1 марта, 2017 Спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.