Перейти к содержанию

kiaracript@gmail.com

Сергей Жданов_42554

От Сергей Жданов_42554
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
Опубликовано (изменено)

Добрый вечер. Словили шифровальщик. Отправляю результаты проверки

CollectionLog-2018.01.15-17.10.zip

Изменено пользователем Сергей Жданов_42554
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
  • Автор
Опубликовано

Сегодня опять дал о себе знать вирус: бухгалтер заходит удаленно на сервер поработать в 1С, спустя время ей выдает "Фатальная ошибка, документ xml is empty" ссылаясь на registry.xml (C:\Users\User\AppData\Roaming\1C\1cv8\ExtCompT\registry.xml), перехожу по этому пути - его содержимое вместо

<?xml version="1.0" encoding="UTF-8"?>
<registry xmlns="http://v8.1c.ru/8.2/addin/registry"/>

содержит

registry.xml.SN-4760199112463586-kiaracript@gmail.com.

Понаблюдал самостоятельно, после удаления xml файла из этй папки и повторного запуска 1С создается файл с норм содержимым, спустя 1-3 мин содержимое меняется kiaracript... - значит все таки на сервере есть активный процесс kiara, сделал еще раз логи с пом вышеуказанной программы  Farbar Recovery Scan Tool, содержимое во вложении.

Что еще можно предпринять ?

 


Добавляю отчет после сканирования системы AutoLogger.exe

Desktop.rar

CollectionLog-2018.01.19-23.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В момент повторного шифрования к серверу имеют доступ другие машины из локальной сети? Логи с рабочего компьютера бухгалтера еще бы сделать не помешало.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • evgeny_f
      Шифровальщик Mail-[mammoncomltd@gmail.com]ID-[L5Y80R37X4].lock и lock.v2
      От evgeny_f
      Addition.txtVirus.rarREAD.txtFRST.txt
       
      Здравствуйте. 8 сентября были зашифрованы файлы на сервере с 1с. Копии баз на этой же машине на другом диске. Тоже зашифрованы. Помогите пожалуйста!
    • e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      От e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      1 сервер и 3 локальных машины
      файл nn.exe приложил скрин: photo_2024-07-23_07-32-31.jpg

      Addition.txt FRST.txt information.txt
    • Kreout
      Шифровальщик (aaleenthomas@gmail.com).GAYGUY
      От Kreout
      Добрый день. Поймал примерно две недели назад неизвестного шифровальщика. Файла вируса не осталось. ОС переустановил.  Помогите, пожалуйста. 
      шифрованные файлы и инструкция.rar Addition.txt FRST.txt
    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      От freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
    • Denis2023
      Шифровальщик kilook200@gmail.com
      От Denis2023
      Привет, шифровальщик пролез через RDP.
      Зашифровал windows 2003 и windows 2008
      Virustotal распознал так:
      Сервер 2003 зашифровался до потери загрузки системы, Сервер 2008 удалось выключить до окончания шифрования.
      В обоих случаях имею такие файлы:
      N-Save.sys - похоже на ssh-ключи для подключения к серверам шифровальщика
      Restore_Your_Files.txt - файл с требованиями
      S-2153.bat - запускает S-8459.vbs
      S-8459.vbs - запускает S-6748.bat
      S-6748.bat - тут вся логика шифрования с несколькими циклами  и проверками
      В коне диска лежит R_cfg.ini с таким содержимым
      И сам файл test.txt - возможно это ключ шифрования, либо дешифровки test.txt

       
      Кроме того, зловред закинул целый архив kilook200@gmail.com.zip с содержимым

      и его же впоследствии зашифровал в kilook200@gmail.com.zip_[ID-HKHVN_Mail-kilook200@gmail.com].JDB
      Получается, что у меня есть обе версии архива (нешифрованная и шифрованная) с возможным ключем шифрования, вдруг это чем-то поможет.

      Логи сканера приложить не могу, т.к. оба сервера выключены, диски извлечены.
        
      Restore_Your_Files.txt test.txt
×
×
  • Создать...