Перейти к содержанию

Рекомендуемые сообщения

Добрый день,

 

Два сервера словили вирус, на одном установлен Касперский Endpoint Security 10, файлы имеют расширение zuzya, ссылается на сайт zuzya_next.aol.com, попробывали бесплатную утилиту от касперского по удалению вируса- шифровальщика, он сказал что продукт касперского уже установлен.

 

 

Кто-нибудь сталкивался с таким вирусом? Подскажите в каком направлении копать.

 

Один сервак доменный репликатор, второй 1с, базы sql тоже зашифровал.

Ссылка на сообщение
Поделиться на другие сайты

Произвели проверку, утилитой Kaspersky Virus Removal Tool 2015, поиск ничего не дал, Угроз не обнаружено,

Лог во вложении

CollectionLog-2017.08.14-12.32.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего это GlobeImposter2 и расшифровки не будет.

 

Образец зашифрованного файла и сообщение вымогателя how_to_back_files.html в одном архиве прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Это просто выстрел в голову, а по части остановки распространения илечения компов не информации ? По файлам понятно , а как оградить остальные компы?

Ссылка на сообщение
Поделиться на другие сайты

Сменить пароль от RDP на более сложный, сменить стандартный порт RDP.

 

Активного вируса в логах нет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Svetlana1965
      От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vaz21102
      От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • isavr
      От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • thyrex
      От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • me4dy
      От me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
×
×
  • Создать...