Зашифрованы файлы с именами типа id-80FDD7D.[decrypthelp@qq.com].java

[evrei73]

Подключился по РДП и увидел, что в 21:44 создался файл и зашифровано совершенно все

Забыл приложить Лог файл

CollectionLog-2018.03.13-00.32.zip

[Sandor]

Здравствуйте!

 

Сразу предупрежу, расшифровки для этого типа вымогателя нет. Но видны хвосты вируса.

Логи сделаны в терминальной сессии, сделайте их из консоли.

Когда найдете возможность собрать из консоли, пробуйте этой версией Автологера.

[evrei73]

Здравствуйте!

 

Сразу предупрежу, расшифровки для этого типа вымогателя нет. Но видны хвосты вируса.

Логи сделаны в терминальной сессии, сделайте их из консоли.

Когда найдете возможность собрать из консоли, пробуйте этой версией Автологера.

Сделали в консоле. Приложили файл

CollectionLog-2018.03.13-15.10.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\winhost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 ExecuteFile('schtasks.exe', '/delete /TN "WinhostUpdateTask" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\ProgramData\winhost.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.