bandarchor Помогите расшифровать. новый шифровальщик

11 декабря, 2017

{KIARA}.SN-4793544493933116-kiaracript@gmail.com

вот такое содержимое файла с инструкциями

Обнаружен объект: Троян Trojan.BAT.BitCoinMiner.dg.

Имя объекта: C:\Users\Valentina\Desktop\MGP.exe//Hide.vbs

Обнаружен объект: Троян Trojan-Dropper.MSIL.Mine.dg.

Имя объекта: C:\Users\Valentina\Desktop\svshost.exe

пользователь валентина имел лёгкий пароль, и возможно его взломали, подобрали пароль к сессии RDP...

запаковал все расшареные папки в локальной сети...

какие наши действия? Зайти под этим пользователем и запустить утилиту сбора логов? или можно изпод админа? Сервер виртуальный 2008R2

CollectionLog-2017.12.11-12.22.zip

11 декабря, 2017

Здравствуйте!

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT

вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '');
 QuarantineFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '');
 DeleteFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '32');
 DeleteFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-729847823-1059420049-4267801177-1008\Software\Microsoft\Windows\CurrentVersion\Run', '{CDE0DCAA-D176-5A46-B7B5-2174B5E77F1E}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 декабря, 2017

Здравствуйте!

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT
вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

пользователя уже отключили и его папку удалили ( к сожалению...

--.rar

11 декабря, 2017

Продолжайте.

bandarchor Помогите расшифровать. новый шифровальщик

Рекомендуемые сообщения

melekhin

Sandor

melekhin

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum