Вирус-шифровальщик cryptozlo@cock.li .nuclear

[Alex_sever]

Здравствуйте

Заражён ноутбук Acer.

Ноутбук использовался в качестве кассы в кафе, для формирования чеков и отчётов за день. 

Соответственно БД и ПО для кассы зашифрованы. Система работает нормально. 

Вероятная причина заражения - слабый пароль на RDP.

Можно ли чем-нибудь помочь?

 

 

CollectionLog-2017.09.05-16.05.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Alex_sever]

Готово

FRST.zip

[thyrex]

Есть зашифрованные документы Word?

[Alex_sever]

Такие есть, но они не очень важны.

Изменено 5 сентября, 2017 пользователем Alex_sever

[thyrex]

Это тут не при чем. Пришлите в архиве такой файл, по возможности с сообщением, оставленным вымогателями для связи

[Alex_sever]

HELP.hta - сообщение

mess.txt - сообщение в тексте

 

и три файла: doc, docx, xlsx

mess.zip

[thyrex]

Скорее всего BTCWare. И если сервер перезагружался, то шансов нет. Спросил у иностранных коллег

[Alex_sever]

Жаль.

Спасибо за работу.

А система в норме? Ничего не надо подчищать?

[thyrex]

Получил подтверждение, что это именно BTCWare. Активного вируса в логах нет.

 

Пароль от RDP смените на более сложный.

[Alex_sever]

Ок.

Спасибо.