piiv 0 Опубликовано 29 августа, 2017 Share Опубликовано 29 августа, 2017 Здравствуйте. Шифровальщик, похожий на описанный здесь: http://myspybot.com/arena-ransomware/ зашифровал файлы на сервере. Посоветуйте что делать. По видимому файл был скачан и запущен еще 07.07.2017, но шифрование началось вечером 28.08.2017 и утром 29.08.2017 CollectionLog-2017.08.29-23.40.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 30 августа, 2017 Share Опубликовано 30 августа, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\info.exe',''); QuarantineFile('c:\windows\system32\info.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe',''); DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','info.exe'); DeleteFile('C:\Windows\System32\Info.hta','32'); DeleteFile('C:\Users\pnr\AppData\Roaming\Info.hta','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32'); DeleteFile('c:\windows\system32\info.exe','32'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\info.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
piiv 0 Опубликовано 30 августа, 2017 Автор Share Опубликовано 30 августа, 2017 Собрал все логи. quarantine.zip отправил на newvirus@kaspersky.com. Получил сообщение, что логи отправлены на исследование. Строгое предупреждение от модератора Mark D. Pearlstone quarantine.zip не нужно загружать на форум. Есть смысл запускать ваш дешифровальщик? Вчера находил его где-то на ваших сайтах. Там как раз упоминался вирус Crusis. Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код: info.exe - Trojan-Ransom.Win32.Crusis.to info_0.exe - Trojan-Ransom.Win32.Crusis.to info_1.exe - Trojan-Ransom.Win32.Crusis.to info_2.exe - Trojan-Ransom.Win32.Crusis.to info_3.exe - Trojan-Ransom.Win32.Crusis.to В антивирусных базах информация по присланным вами файлам отсутствует: Info.hta Info_0.hta Info_1.hta Перечисленные файлы имеют безопасный формат и не могут быть вредоносными: image001.png Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com https://www.securelist.com" -------------------------------------------------------------------------------- From: Sent: 8/30/2017 9:53:00 AM To: newvirus@kaspersky.com Subject: Вирус шифровальщик С уважением, Иван Пивоваров тел.: 8 (495) 587-87-36 (доб. 4931) [cid:image001.png@01D223BC.5C4671B0] KLAN-6730584671 CollectionLog-2017.08.30-10.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 30 августа, 2017 Share Опубликовано 30 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
piiv 0 Опубликовано 30 августа, 2017 Автор Share Опубликовано 30 августа, 2017 Логи Farbar Recovery Scan Tool FRST64.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 30 августа, 2017 Share Опубликовано 30 августа, 2017 Ужас, все еще хуже запущено, чем можно было ожидать. У Вас поработали одновременно (последовательно) от 2 до 3-4 шифраторов. CrySis (arena) только один из них. Увы, с расшифровкой помочь не сможем. C:\Users\pnr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe удалите вручную, если найдется Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.