Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Одному из пользователей нашего предприятия прислали письмо с шифровальщиком, после чего его ПК(полностью зашифрован) и сетевые ресурсы(частично зашифрованы) пострадали от действия шифровальщика. Являемся обладателем Вашего продукта- Kaspersky Endpoint Security 10 for Windows на 90 лицензий. Проверка Kaspersky Virus Removal Tool и Dr.Web CureIt! следов шифровальщика не выявила. Логи сделанные AutoLogger и FRST прикрепляю.

 

 

FRST.7z

CollectionLog-2018.02.07-10.56.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файл "Instruction for decrypt.TXT" вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Являемся обладателем Вашего продукта

Проверьте сделана ли эта настройка. Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Являемся обладателем Вашего продукта

Так же прикрепил результаты проверки и скриншот с тем, что нашла программа Anti-Malware. В одном файле с расширением *.exe она определила Ransom.Scarab Можем выслать файл на анализ.

 

Instruction for decrypt.rar

malware.rar

Ссылка на сообщение
Поделиться на другие сайты

Можем выслать файл на анализ

Отправьте через virusdesk или через личный кабинет.

 

результаты проверки и скриншот с тем, что нашла программа Anti-Malware

Все найденное удалите (поместите в карантин).
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2018-02-06 14:16 - 2018-02-06 14:16 - 000001958 _____ C:\Users\Public\Instruction for decrypt.TXT
    2018-02-06 14:16 - 2018-02-06 14:16 - 000001958 _____ C:\Users\Public\Downloads\Instruction for decrypt.TXT
    2018-02-06 14:16 - 2018-02-06 14:16 - 000001958 _____ C:\Users\Public\Documents\Instruction for decrypt.TXT
    2018-02-06 14:16 - 2018-02-06 14:16 - 000001958 _____ C:\Users\PEO-2.GELEZOBETON\Downloads\Instruction for decrypt.TXT
    2018-02-06 14:16 - 2018-02-06 14:16 - 000001958 _____ C:\Users\PEO-2.GELEZOBETON\Documents\Instruction for decrypt.TXT
    2018-02-06 14:14 - 2018-02-06 14:14 - 000001958 _____ C:\Users\PEO-2.GELEZOBETON\Instruction for decrypt.TXT
    2018-02-06 14:14 - 2018-02-06 14:14 - 000001958 _____ C:\Users\PEO-2.GELEZOBETON\Desktop\Instruction for decrypt.TXT
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

 

Создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое! Все выше перечисленное выполнили. Запрос на расшифровку сделали параллельно с этой темой- пока нет ответа. Не знаете сколько по времени в среднем занимает расшифровка файлов? Еще раз благодарю.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте сделана ли эта настройка.

Добрый день! Подскажите пожалуйста, сделали данную настройку в Kaspersky Security Center. Что нужно сделать, чтобы данная настройка оказалась у пользователей?

Изменено пользователем bon-bon
Ссылка на сообщение
Поделиться на другие сайты

То что написано в инструкции мы сделали. Не можем понять должно или нет появится на локальных станциях в меню: " Настройка - Контроль активности программ - ресурсы, подменю персональные данные - Защищаемые типы файлов" Если правильно понимаем, то после того как мы заносим изменения на KSC они должны передаться на локальные станции? Или не правы?

Ссылка на сообщение
Поделиться на другие сайты

Да, должно получиться так:

 

post-7386-0-57216200-1518179558_thumb.png

 

В политиках замочки должны быть закрыты. Впрочем, мы выходим за рамки этой ветки форума.

Уточните в соседней или на оф. форуме.

 

А также читайте базу знаний.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Калинин Евгений
      Помогите расшифровать файлы. Все файлы во вложении
      Addition.txt FRST.txt RESTORE_FILES_INFO.txt u_ex170709.log.[ID-FE4528A8].[john2wick@tuta.io].zip
    • От Krazos
      Здравствуйте, после ночной атаки был зашифрован сервер. При запуске системы Windows Server 2008 R2 на начальном экране ввода пользователя с паролем происходит автоматическая перезагрузка. 
      Есть шанс на дешифровку? Файлы прилагаю.
      Зашифрованные файлы с текстом вымогателей.rar FRST.txt
    • От MatroskinPR
      Здравствуйте
      Столкнулся с проблемой зашифрованных файлов на моём пк, в какой момент это произошло и после каких действий сказать точно не могу, так же обнаружил что был удалён антивирус, утром он ещё был.
      Все файлы переименованы с ссылкой {yourdataonline@aliyun.com}, можно ли их спасти?
      Прикрепляю логи и некоторые файлы в том числе и файл с некоторой инструкцией который удалось найти
      Addition.txt FRST.txt Архив WinRAR.rar
      Чуть не забыл про само требование
      RESTORE_FILES_INFO.txt
    • От Успех Каждому
      Добрый день, сотрудник поймал вирус-шифровальщик на ноутбуке, файлы переименовались в расширение *.*.[ID-215CFE80].[kingkong2@tuta.io].VIPxxx. Логи FRST прислать не могу, т.к из за шифровальщика не запускается система. Прилагаю 2 зашифрованных файла а также записку о выкупе. Что это за название шифровальщика и есть ли решение по расшифровке файлов ?
      Archive.zip
    • От kormash
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420 Как нибудь можно расшифровать,буду очень благодарен
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420.zip
×
×
  • Создать...