Файлы зашифрованы, возможно amnesia

[Gambit2]

Йес! Теперь имена тоже расшифровываются. Работает! Дешифрует очень быстро.

 

Вопрос последний, по процедуре. Дескриптор сохраняет в своей папке файл реестра decryption.key Я так понимаю, что этот файл можно использовать, если есть необходимость прервать дешифровку и затем запустить снова. А вот как его использовать - в инструкции не описано. Подскажете?

Ага, разобрался. При наличии файла ключа дескриптор просто запускается двойным кликом без перетаскивания в него двух файлов для анализа. 

 

Для всех: дескриптор установки не требует, по сети работает. Может быть скопирован на зараженный компьютер вместе с файлом ключа и точно так же без проблем запускается.

 

ВСЕМ СПАСИБО!

Сижу сданной проблемой уже почти 12 часов. Не могу побороть. Делал всё как у Вас но всё мимо. в субботу 03,06 в 16,50 данный вирус проник на сервер у магазина, магазин авто запчатей, многие хотели ехать на дачу отдыхатьгулять. Оставил всех без работы и кучу недовольных клиентов. Есть файлы до и после вируса. Помогите пжл ну очень хочется работать и не расстраивать клиентов.

[thyrex]

Порядок оформления запроса о помощи

 

+ образцы зашифрованных файлов пришлите в архиве

[Gambit2]

Порядок оформления запроса о помощи

 

+ образцы зашифрованных файлов пришлите в архиве

Прикрепляю архив чего смог нарыть. Одни и те же файлы но одни попали под раздачу другие нет. Файлы разных форматов.

Шифр и без.rar

[thyrex]

Ждем логи по правилам

[Gambit2]

Прошу извинения, Первый раз тут, Прикрепляю лог

CollectionLog-2017.06.04-10.21.zip

[thyrex]

Папку C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\Helps заархивируйте с паролем virus, выложите на http://dropmefiles.comи пришлите ссылку на скачивание мне в личные сообщения

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Gambit2]

Прикрепляю лог. Ещё пока лог делался заметил в диспетчере как раз амнезию фото так же прилагаю. 

Log-2017.06.04-10.57.rar

[thyrex]

Это кто-то дешифратор для amnesia2 запустил Только он не смог у меня найти ключ к Вашим файлам.

 

C:\Documents and Settings\Administrator\Local Settings\Temp\1\GLB1A2B.EXE заархивируйте с паролем virus, выложите на обменник и ссылку мне в личные сообщения.

 

Логи сервера на предмет постороннего входа (скорее всего в ночное время) смотрели?

[Gambit2]

нет, не смотрели, случилось всё вечером. Пока сменили пароли все на учетных записях.

[thyrex]

нет, не смотрели, случилось всё вечером

значит смотрите. Хотя зачастую злоумышленники подчищают за собой следы

[Gambit2]

Да, злоумышленников ловить это мартышкин труд. Надо восстанавливать базу данных и укреплять защиту чтобы больше такого не было.

[thyrex]

Меньше слов - больше дела, пожалуйста. Логи смотрели? Каков результат осмотра?

[Gambit2]

да смотрели. Что именно там должно быть? Айпи есть прям в это время когда случилось 52.59.93.232 

[thyrex]

Нужно смотреть, какой файл скачивался и запускался

[thyrex]

Файлы AppEvent.Evt, SysEvent.Evt, SecEvent.Evt из папки system32/config заархивируйте и пришлите

 

Папку C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\Helps удалите