Перейти к содержанию

Вирус зашифровал все файлы

MadFox
 Share

Рекомендуемые сообщения

MadFox Новичок

MadFox

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

Сегодня утром вирус-шифровальщик зашифровал все файлы на сервере.

Все файлы заканчиваются на .id-8463DA9B.[darkfuture@cock.li].java

Для расшифровки просят написать на darkfuture@cock.li

Если есть возможность, помогите.

Спасибо.

 

П.С. файл ports.zip сам шифровальщик

CollectionLog-2017.12.28-10.33.zip

FRST.zip

Изменено пользователем Sandor
Убрал подозрительный файл
Ссылка на комментарий
Поделиться на другие сайты
MadFox Новичок

MadFox

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

Сделано.

KVRT.zip - это скрин того что нашел KVRT.

CollectionLog-2017.12.29-10.28.zip

FRST.zip

KVRT.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Тип вымогателя Dharma (.cezar). Впечатление такое, что и еще какой-то. Расшифровки нет, к сожалению.

Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [app.exe] => C:\Windows\System32\app.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13921 2017-12-28] ()
HKLM\...\Run: [C:\Users\Starlight\AppData\Roaming\Info.hta] => C:\Users\Starlight\AppData\Roaming\Info.hta [13921 2017-12-28] ()
HKLM\...\Run: [C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta] => C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta [13921 2017-12-28] ()
Startup: C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] ()
Startup: C:\Users\Starlight\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] ()
2017-12-28 21:05 - 2017-12-28 21:05 - 000013921 _____ C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta
2017-12-28 21:05 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Administrator.AMADEUSSERVER.002\Desktop\FILES ENCRYPTED.txt
2017-12-28 08:04 - 2017-12-28 21:05 - 000013921 _____ C:\Windows\system32\Info.hta
2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\FILES ENCRYPTED.txt
2017-12-28 08:04 - 2017-12-28 08:04 - 000013921 _____ C:\Users\Starlight\AppData\Roaming\Info.hta
2017-12-28 08:04 - 2017-12-28 08:04 - 000000170 _____ C:\Users\Starlight\Desktop\FILES ENCRYPTED.txt
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
×
×
  • Создать...