MadFox Опубликовано 28 декабря, 2017 Share Опубликовано 28 декабря, 2017 (изменено) Доброго времени суток! Сегодня утром вирус-шифровальщик зашифровал все файлы на сервере. Все файлы заканчиваются на .id-8463DA9B.[darkfuture@cock.li].java Для расшифровки просят написать на darkfuture@cock.li Если есть возможность, помогите. Спасибо. П.С. файл ports.zip сам шифровальщик CollectionLog-2017.12.28-10.33.zip FRST.zip Изменено 28 декабря, 2017 пользователем Sandor Убрал подозрительный файл Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 декабря, 2017 Share Опубликовано 28 декабря, 2017 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Ссылка на комментарий Поделиться на другие сайты More sharing options...
MadFox Опубликовано 29 декабря, 2017 Автор Share Опубликовано 29 декабря, 2017 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Сделано. KVRT.zip - это скрин того что нашел KVRT. CollectionLog-2017.12.29-10.28.zip FRST.zip KVRT.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 29 декабря, 2017 Share Опубликовано 29 декабря, 2017 Тип вымогателя Dharma (.cezar). Впечатление такое, что и еще какой-то. Расшифровки нет, к сожалению. Будет только очистка следов. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [app.exe] => C:\Windows\System32\app.exe HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13921 2017-12-28] () HKLM\...\Run: [C:\Users\Starlight\AppData\Roaming\Info.hta] => C:\Users\Starlight\AppData\Roaming\Info.hta [13921 2017-12-28] () HKLM\...\Run: [C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta] => C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta [13921 2017-12-28] () Startup: C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () Startup: C:\Users\Starlight\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () 2017-12-28 21:05 - 2017-12-28 21:05 - 000013921 _____ C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta 2017-12-28 21:05 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Administrator.AMADEUSSERVER.002\Desktop\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 21:05 - 000013921 _____ C:\Windows\system32\Info.hta 2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 08:04 - 000013921 _____ C:\Users\Starlight\AppData\Roaming\Info.hta 2017-12-28 08:04 - 2017-12-28 08:04 - 000000170 _____ C:\Users\Starlight\Desktop\FILES ENCRYPTED.txt End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти