Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Заархивированы некоторые файлы и папки и установлен на них пароль.

Serzhanya
 Поделиться

Рекомендуемые сообщения

Serzhanya

Serzhanya

Опубликовано
Опубликовано

Добрый день. Заархивированы некоторые файлы и папки и установлен на них пароль. Там где архивы есть текстовый документ следующего содержания.

Здравствуйте. Ваши файлы зашифрованы обычным Winrar (нет вирусов и специальных программ)
email мне  rarkey@india.com  IP адрес вашего сервер и я прислать Вам дальнейшие инструкции.


P.s. Если Вы не знать Ваш IP, схдить на сайт 2ip.ru (это безопасно) и скопировать Ваш IP адрес в письмо мне.
Я не обманывать и отдать Вам пароль после оплаты!
Так-же я написать ваши трудности в безопасности и инструкцию, что-бы больше не был взлом никогда.
Пароль подобрать к архивам не возможно, очень сложный и длинный, удаленные файлы восстановить не возможно,
они стереть, не просто удален. Не тратить ценное время, заплатить мне, воостановить работу сервера,
 оплата после взять у Ваш системный администратор.

 

Есть варианты расшифровать?

Serzhanya

Serzhanya

Опубликовано
  • Автор
Опубликовано (изменено)

Проверку провел Dr.web Cureit, но переде этим устанавливал Kaspersky Endpoint 10 и он удалил пару вирусов: сначала ругнулся на msapp.exe, затем увидел Trojan.vbs.runner. Проверку Курейтом проводил при отключенном Каспере и он ничего не обнаружил. Затем сделал Лог по правилам

CollectionLog-2017.03.24-13.35.zip

Изменено пользователем Serzhanya
Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Pokki

В системе видны несколько программ удаленного подключения:

D:\AA_v3.exe

C:\Program Files\uvnc bvba\UltraVNC\WinVNC.exe

C:\Users\user1\AppData\Local\Temp\TeamViewer\Version9\TeamViewer.exe

Они Вам известны?

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Serzhanya

Serzhanya

Опубликовано
  • Автор
Опубликовано

Программы удаленного подключения мне известны, могу удалить кроме тим вьевера.

Pokki удалил

AdwCleanerS0.txt

Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
Folder: C:\Program Files (x86)\Windows Inst
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Меняйте пароль на RDP, пересмотрите настройки программ удаленного доступа.

С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • iceman91
      RAR архивы с паролем
      Автор iceman91
      В один из дней на серваке в примерно 650 папках все файлы типа doc jpg pdf и тд стали архивами с паролем и в этих же папках создалось по текстовому документу с описанием и требованием 10к рублей. Подозреваю, что кто то принял "нехорошее" письмо, так как эта штука разошлась только по общим папкам отделов..
      CollectionLog-2015.02.09-18.03.zip
    • iceman91
      RAR архив с паролем
      Автор iceman91
      Добрый день, случилась беда на сервере, в 650 папках появился текстовый файл с предложением заплатить 10к рублей за пасс от архива.. как это можно победить? уже очень много нужных файлов испортилось..

      соответственно были заархивированы все файлы doc, pdf, jpg и тд, которые есть в папке с этими файлами 
    • Евгений Гадюков
      Вирус заархивировал на сервере базы 1с и сетевые папки
      Автор Евгений Гадюков
      Здравствуйте! Вообщем проблема такая, вирус заархивировал все базы 1с на сервере и все сетевые папки и бэкапы системы,  на диске появился архив с названием папки баз 1с в котором все содержимое дисков, архив запоролен и папка ~ERAFSWD.TMP. Что дальше делать не знаем. Помогите восстановить данные.
    • egor_ka8
      Вирус-шифровальщик в rar архивы
      Автор egor_ka8
      Здравствуйте. 17.10.16 в 7:11 был запущен вирус-шифровальщик. В системе появился пользователь administrator, где в папке пользователя Roaming лежали вирусные файлы. Все зашифрованные файлы имеют расширение exe и формат sfx rar. 
      В интернете было написано, что это возможен вариант программы, которая генерирует пароль по времени его запуска. Почта, которая там написана - не работает. Имеем в виду, что услуга платная, если есть какие то шансы.
      зашифрованные файлы.rar
      CollectionLog-2016.10.18-13.21.zip
    • panda7007
      Вирус заархивировал в вин рар с паролем
      Автор panda7007
      Здравствуйте!
      Вирус заархивировал папку рабочего стола, папку с базами 1с, и еще 1 папку в три архива и создал на диске д текстовые файлы со следущим содержимым
        Внимание! Ваши данные заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения). При согласии напишите на почту    rob1111stewar@hotmail.com  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).  IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.   прикрепляю  файл логов AVZ 
×
×
  • Создать...