Шифровальщик sambuka_star@aol.comм

[Ershov]

Зашифрованы данные на сервере и всех компьютерах в сети с каталогом с права общего доступа. Антивирус установлен все базы обновлены.
Файлы имеют вид - "C:\Родин.rtf.SAMBUKA

Сообщение от злоумышленников лежит в файле "HOW_TO_BACK_FILES.html", в каждой папке

Чем проверить ПК  информацию. восстанавливать не надо

CollectionLog-2018.04.03-20.18.zip

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[bazuev]

у меня точно такая же проблема, компьютер был отключен так как хотелось предотвратить дальнейшее шифрование файлов. Спасти удалось сильно малую часть. Соответственно проанализировать можно только содержимое жестких дисков. Есть идеи как дешифровать файлы?

Как я понимаю взлом произошел с помощью учетной записи "Программа улучшения качества ПО" через RDP. При этом RDP был проброшен через нестандартный порт

[Sandor]

@bazuev, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

[Ershov]

!

med.zip

[Sandor]

Ran by med (ATTENTION: The user is not administrator)

Переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это сделали?

[Ershov]

1

MED.zip

[Sandor]

Пожалуйста, не игнорируйте вопросы, а отвечайте на них.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-04-02 22:40 - 2018-04-02 22:40 - 000005465 _____ C:\Users\med\Documents\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\Все пользователи\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\Public\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\Public\Downloads\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\Public\Documents\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\med\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\Users\med\Downloads\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000005465 _____ C:\ProgramData\HOW_TO_BACK_FILES.html
  2018-04-02 22:39 - 2018-04-02 22:39 - 000001026 _____ C:\Users\Public\52728CB60112E9914F0A871F8A8100A78D28E13BAAD29239921D05AA8DF5DA4C
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.