Перейти к содержанию
Правила раздела

WannaCry на сетевом диске

Dr.Who

От Dr.Who
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Dr.Who Новичок

Dr.Who

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Один из ПК клиентов умудрился словить WannaCry.

Comodo не смог отловить зловреда и как результат - куча заблокированных фалов на сетевом диске, где был доступ для данного пользователя.

Часть фалов было переименованно с добавлением _qb15oyid13d в название и не имеет своего дубля.

А часть была скопированна и у копии в названии добавлено decryptedKLR

Kaspersky Virus Removal Tool 2015 нашел 3 вируса:

HEUR:Trojan.Script.Generic

HEUR:Trojan-Ransom.MSIL.Generic

HEUR:Trojan-Ransom.Win32.Generic

Также в приложении лог работы автоматического сборщика логов.

 

Возможно ли сейчас как-то разблокировать поврежденные и дублированные файлы?

 

 

CollectionLog-2018.03.06-07.10.zip

Изменено пользователем Dr.Who
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из ПК клиентов

Логи собраны именно на этом компьютере? Если да, на нем же соберите дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл

C:\Users\Polushina_EV\Documents\ЧТO ДEЛAТЬ ДЛЯ ВОССТАНОВЛЕНИЯ ФAЙЛOB.txt

и пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Dr.Who Новичок

Dr.Who

Опубликовано
  • Автор
Опубликовано

Будьте внимательны. Я просил файл с именем "ЧТO ДEЛAТЬ ДЛЯ ВОССТАНОВЛЕНИЯ ФAЙЛOB.txt" и зашифрованные документы.

Добавил файл в архив (в приложении)

Desktop.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Увы, тип вымогателя Unlock92 2.0 - расшифровки нет.

 

В системе следов нет.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
Dr.Who Новичок

Dr.Who

Опубликовано
  • Автор
Опубликовано

Увы, тип вымогателя Unlock92 2.0 - расшифровки нет.

 

В системе следов нет.

Жаль. Загуглил, вымогатель не новый, но если до сих пор не расшифровали, видимо не простой :). Надеюсь в дальнейшем расшифруют и выложат на форум.

Благодарю за скрипт и за помощь в целом.

Контора после инцидента крайне озадачилась антивирусной безопасностью :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • lonoa
      Не видит Жесткие диски
      От lonoa
      Здравствуйте, у меня есть загрузочный диск kaspersky rescue disk 10, на двух ноутбуках Asus x550c и Toshiba satellite l850d не видит жесткие диски только загрузочные сектора. (На других компьютерах с этой же болванки все работает.) В настройках биоса защиты жесткого диска не стоит все отключено. Помогите разобраться. С Уважением Александр
    • Pentalogue
      Мне нужно исправить проблему с жёстким диском
      От Pentalogue
      Я использую Windows 10. Мой жёсткий диск от WD Blue на 2000 гигабайт.
      Когда Я подсоединяю к своему жёсткому диску кабель питания SATA, на котором написано "P3", он периодически начинает то включаться, то выключаться. Это отображается в проводнике, как появление и возможность взаимодействия с файлами на нём, но притом только на несколько секунд, так как он выключается и вместе с этим возможность взаимодействия с файлами на нём - это происходит циклично, когда SATA подключён к этому жёсткому диску, но из-за этого Я уже его оставляю не подключённым. Всё это плохо сказывается на его работе, ведь он сыпется из-за многократного включения-выключения, так как жёсткий диск расчитан на какое-то N-ое количество включений (как Мне говорили). Я очень сильно надеюсь, что проблема кроется именно в SATA, а не в жёстком диске, который проработал всего-то больше года.
      Я успевал проверять свой жёсткий диск с помощью Crystal Disk Info (по рекомендациям своих товарищей), когда он во время своего цикла включения-выключения появлялся в системе. Утилита показала, что у моего жёсткого диска довольно большое количество переназначенных секторов. Но Я уверен, что и до проблемы с SATA уже такое было, и это Мне абсолютно не мешало. Мой жёсткий диск и сейчас надёжен в плане сохранения и хранения данных, но Мне мешает лишь одно явление - это невозможность нормального взаимодействия с ним, когда к нему подключен кабель питания P3, во время которого наблюдается включение-выключение.

      Что Мне делать?
    • madlab
      Зашифрованы диски
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...