Перейти к содержанию

Зашифровались данные .helppme@india.com.ID68550433

Radik56
 Поделиться

Рекомендуемые сообщения

Radik56

Radik56

Опубликовано
Опубликовано

Добрый день.

Зашифровались все данные.

есть подозрительные пару файлов сами щифровщики.

 

DrWeb сайт говорит вирус Trojan.Encoder.11040

Если надо могу прислать.

 

Спасибо

Sandor

Sandor

Опубликовано
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли.

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\intel\web\microsoft\xstarter\services.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 QuarantineFile('c:\intel\web\microsoft\xstarter\services.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
 DeleteFile('c:\intel\web\microsoft\xstarter\services.exe', '32');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '32');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe', '32');
 DeleteService('WindowsDefender');
 DeleteService('xStarter');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Radik56

Radik56

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
services.exe
smss.exe

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services_0.exe - not-a-virus:RemoteAdmin.Win32.Autoit.bj

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

[KLAN-6217925570]


Sandor

Я Вам отправил в личку сообщения.

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки для RSAUtil Ransomware нет

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • anc
      Файлы зашифрованы RSAUtil
      Автор anc
      Такая же проблема. Зашифрованный файл и файл config.cfg в архиве. Файла private.pem в системе нет.
      crypt.zip
    • Lesnichii
      RSAUtil Virus
      Автор Lesnichii
      Здравствуйте. Комп поймал RSAUtil Virus. Все файлы зашифровались. Установлен KAV но он его не поймал. Логи собрать и приложить не могу, так как систему уже откатили на более ранний снимок.
      Осталась гора зашифрованных файлов на сетевых дисках которые хотелось бы восстановить. Образцы файлов прикладываю. (Приерепить файлы не дает...пишет  Ошибка Вы не можете загружать файлы подобного типа)
    • Алексей Радченков
      Вирус шифровальщик RSAUtil Virus
      Автор Алексей Радченков
      Добрый день.
      Наш компьютер словил RSAUtil Virus шифровальщик, при этом у нас стоит Касперский с постоянным обновлением базы данных, который его пропустил, как теперь нам расшифровать данные?
      Форма файл приложил
      Реестр договоров ДОХОДЫ_2016 .xls - Ярлык.lnk.helppme@india.com.ID68550433.zip
    • grimturs
      Шифровальщик Tizer77234 Tizer78224
      Автор grimturs
      Добры день.
      В ночь с 30.04.2018 на 01.05.2018 на одном из серверов произошла шифровка всех рабочих фалов, включая исполняемые. Откуда взялся не понятно, все компы чистые. При локальной авторизации обнаружил, что последняя авторизация была под учёткой admin, которую никто не использовал (возможно была создана трояном), не исключаю диверсию изнутри. Пароли все изменил. на рабочем столе учётки admin были найдены пакетные файлы Windows (bat), которые указывали на папку с вирусом. Логов нет, понимание куда копать тоже пропало.

      В каждой папке инструкция от злодея:
      "Hi friend...     For instructions on how to recovery the files, write to me:   Tizer78224@gmx.de Tizer78224@india.com Tizer77234@protonmail.com   In the letter, indicate your personal ID (see the file format). If you have not received an answer, write to me again."   Прошу оказать содействие в дешифровке файлов.
      CollectionLog-2018.05.04-12.50.zip
    • JefferyWA
      Шифровальщик - vendetta553@gmx.de
      Автор JefferyWA
      Здравствуйте, возникла такая проблема, после проведения мониторинга системы вызванным недавним паданием сервера был найден вирус-шифровальщик (кажется это RSAUtil - vendetta553@gmx.de), дата создания файлов how_return_files, датируется аж 07.12.2017, полагаю что живет он там уже давно, как этого не заметили ума не приложу. 
      Распространение вируса почему то не произошло, но сервер является главным на нем стоят виртуальные сервера и вот на них уже много важной информации.

      Надеюсь на совет, и помощь квал.специалистов.

      З.Ы. Прилагаю скрин сообщения шифровальщика.
×
×
  • Создать...