Перейти к содержанию

kiaracript@gmail.com

Сергей Жданов_42554

От Сергей Жданов_42554
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
Опубликовано (изменено)

Добрый вечер. Словили шифровальщик. Отправляю результаты проверки

CollectionLog-2018.01.15-17.10.zip

Изменено пользователем Сергей Жданов_42554
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
  • Автор
Опубликовано

Сегодня опять дал о себе знать вирус: бухгалтер заходит удаленно на сервер поработать в 1С, спустя время ей выдает "Фатальная ошибка, документ xml is empty" ссылаясь на registry.xml (C:\Users\User\AppData\Roaming\1C\1cv8\ExtCompT\registry.xml), перехожу по этому пути - его содержимое вместо

<?xml version="1.0" encoding="UTF-8"?>
<registry xmlns="http://v8.1c.ru/8.2/addin/registry"/>

содержит

registry.xml.SN-4760199112463586-kiaracript@gmail.com.

Понаблюдал самостоятельно, после удаления xml файла из этй папки и повторного запуска 1С создается файл с норм содержимым, спустя 1-3 мин содержимое меняется kiaracript... - значит все таки на сервере есть активный процесс kiara, сделал еще раз логи с пом вышеуказанной программы  Farbar Recovery Scan Tool, содержимое во вложении.

Что еще можно предпринять ?

 


Добавляю отчет после сканирования системы AutoLogger.exe

Desktop.rar

CollectionLog-2018.01.19-23.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В момент повторного шифрования к серверу имеют доступ другие машины из локальной сети? Логи с рабочего компьютера бухгалтера еще бы сделать не помешало.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • evgeny_f
      Шифровальщик Mail-[mammoncomltd@gmail.com]ID-[L5Y80R37X4].lock и lock.v2
      От evgeny_f
      Addition.txtVirus.rarREAD.txtFRST.txt
       
      Здравствуйте. 8 сентября были зашифрованы файлы на сервере с 1с. Копии баз на этой же машине на другом диске. Тоже зашифрованы. Помогите пожалуйста!
    • e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      От e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      1 сервер и 3 локальных машины
      файл nn.exe приложил скрин: photo_2024-07-23_07-32-31.jpg

      Addition.txt FRST.txt information.txt
    • Kreout
      Шифровальщик (aaleenthomas@gmail.com).GAYGUY
      От Kreout
      Добрый день. Поймал примерно две недели назад неизвестного шифровальщика. Файла вируса не осталось. ОС переустановил.  Помогите, пожалуйста. 
      шифрованные файлы и инструкция.rar Addition.txt FRST.txt
    • mr.dwz
      Шифровальщик (encoderdecryption@gmail.com).RYKCRYPT
      От mr.dwz
      Добрый день! Шифровальщик зашифровал файлы на компьютере, в том числе и рабочие базы данных от ПО и 1С.
      Расширение у зашифрованных файлов (encoderdecryption@gmail.com).RYKCRYPT
       
      В автозагрузке находится encoderdecryption@gmail.com.exe
       
      Также в ProgramData созданы файлы IDk.txt, pkey.txt, RSAKEY.key
       
      Приложил логи FRST,
      В архиве rykcrypt_files лежат зашифрованные файлы, а также текстовые файлы из ProgramData(Idk.txt, pket.txt, RSAKEY.key)
      В архиве encoderdecryption@gmail.com.zip, лежит exe файл из автозагрузки (пароль virus)
       
      FRST.txt Addition.txt rykcrypt_files.zip encoderdecryption@gmail.com.zip
    • de_Gauss
      Шифровальщик [ID-RRF0H_Mail-dr.file2022@gmail.com].M4X
      От de_Gauss
      Файлы в общей папке были зашифрованы. Есть часть оригинальных файлов. KIS при сканировании определил заразу как "Trojan-Ransom.Win32.Rannoh". Декриптор от Касперского к сожалению файлы не видит, видно что-то новое. Прошу помощи.
      Оригиналы и зашифрованные файлы лежат здесь. При необходимости могу добавить ещё несколько образцов.
       https://disk.yandex.ru/d/YbtE77b9yLa2wQ
×
×
  • Создать...