Перейти к содержанию

Заархивированы некоторые файлы и папки и установлен на них пароль.

Serzhanya
 Поделиться

Рекомендуемые сообщения

Serzhanya

Serzhanya

Опубликовано
Опубликовано

Добрый день. Заархивированы некоторые файлы и папки и установлен на них пароль. Там где архивы есть текстовый документ следующего содержания.

Здравствуйте. Ваши файлы зашифрованы обычным Winrar (нет вирусов и специальных программ)
email мне  rarkey@india.com  IP адрес вашего сервер и я прислать Вам дальнейшие инструкции.


P.s. Если Вы не знать Ваш IP, схдить на сайт 2ip.ru (это безопасно) и скопировать Ваш IP адрес в письмо мне.
Я не обманывать и отдать Вам пароль после оплаты!
Так-же я написать ваши трудности в безопасности и инструкцию, что-бы больше не был взлом никогда.
Пароль подобрать к архивам не возможно, очень сложный и длинный, удаленные файлы восстановить не возможно,
они стереть, не просто удален. Не тратить ценное время, заплатить мне, воостановить работу сервера,
 оплата после взять у Ваш системный администратор.

 

Есть варианты расшифровать?

Serzhanya

Serzhanya

Опубликовано
  • Автор
Опубликовано (изменено)

Проверку провел Dr.web Cureit, но переде этим устанавливал Kaspersky Endpoint 10 и он удалил пару вирусов: сначала ругнулся на msapp.exe, затем увидел Trojan.vbs.runner. Проверку Курейтом проводил при отключенном Каспере и он ничего не обнаружил. Затем сделал Лог по правилам

CollectionLog-2017.03.24-13.35.zip

Изменено пользователем Serzhanya
Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Pokki

В системе видны несколько программ удаленного подключения:

D:\AA_v3.exe

C:\Program Files\uvnc bvba\UltraVNC\WinVNC.exe

C:\Users\user1\AppData\Local\Temp\TeamViewer\Version9\TeamViewer.exe

Они Вам известны?

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Serzhanya

Serzhanya

Опубликовано
  • Автор
Опубликовано

Программы удаленного подключения мне известны, могу удалить кроме тим вьевера.

Pokki удалил

AdwCleanerS0.txt

Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
Folder: C:\Program Files (x86)\Windows Inst
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Меняйте пароль на RDP, пересмотрите настройки программ удаленного доступа.

С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Валерий Иваненко
      Папки с файлами в архиве (*.rar) с паролем.
      Автор Валерий Иваненко
      Здравствуйте.
      Установлена операционная система Windows Server 2012 Standard x64.
      Вечером всё исправно работало. Утром (через 12 часов) обнаружил, что все папки с файлами, базами 1С не открываются. Запаролены архивами.
      Проверил Kaspersky Virus Removal Tool 2015. Не помогло.
      Запустил программу Autologger, получил архив с логами. Архив прилагаю.
      Также прилагаю одну из зашифрованных папок. 

      Результат от сканирования программой Farbar Recovery Scan Tool прилагаю.
      CollectionLog-2017.04.20-09.54.zip
      степные.rar
      Addition.txt
      FRST.txt
    • Marid77
      Мои данные в 1С заархивированы с паролем, для получения пароля требуется оплата
      Автор Marid77
      Как, указала в теме, мои данные заархивированы в Rar файл, с применением пароля, в письме  в формате txt предлагают предоставить пароль в обмен на внешний IP и оплату.
      CollectionLog-2017.04.17-19.50.zip
    • Евгений Госсман
      Все папки заархивированы в RAR с паролем
      Автор Евгений Госсман
      Добрый день!
      Похоже по rdp подключились и все папки заархивировали(((
      Рядом с каждым архивом текстовый вайл с содержимым:
      Attention!
       If you are reading this message, your Computers was attacked by a dangerous virus. All your information (documents, databases, backups and other files) on your computer was encrypted with the most cryptographic algorithms. Restore files can only know the unique password for your computer. Choose it impossible. Changing the operating system does not change anything. Do not change the files! and if decided, then do back up. Write to the address mail servicecompany@asia.com (if there is no response within 24 hours using servicecompany@india.com) to learn how to get the password for data recovery. The letter is required to attach a unique identifier for your computer (located at the bottom of the text file).

      Your Unique Identificator: 3wtyaei174jse3aeyhpdg201weyhy
       
      Во вложении:
      1. Один из таких архивов (с паролем)
      2. Тот самый текстовый файл
      3. zip-архив с собранными логами (собран при помощи AutoLogger.exe)
      _README_README_README_README.txt
      CollectionLog-2017.04.10-11.58.zip
      пример.rar
    • Афанасий Ефимов
      servicecompany@asia.com Архиватор
      Автор Афанасий Ефимов
      Добрый день, подцепили вирус который заархивировал важные документы, и запаролил их. Я так думаю что так произошло потому что пробросили TCP порт 3389 для RDP. Просим дать совета или как то помочь.
      CollectionLog-2017.04.03-19.28.zip
    • Denis180477
      Вирус шифровальщик создал архивы RAR
      Автор Denis180477
      Windows Server 2003, на сервере два физических диска, есть доступ в инет.
      Утром на одном из дисков, где база данных 1С, а также все документы фирмы, все файлы и папки превратились в архивы RAR запароленные, и везде прописался файл readmi с адресом хакеров, просят за разблокировку 0,25 биткоинов
      Файлы с почты не открывал, в интернете ничего не ловил вроде, на сервере открыты только почтовые сайты и интернет банк.
      Последние дни жестко тормозил сервак, и зависал Firefox, как то при перезапуске показал ошибку Firefox plugin container.
       
      Что то можно сделать или нет, чтобы расшифровать файлы и устранить последствия атаки на будущее?
×
×
  • Создать...