Перейти к содержанию

зашифрован удаленный сервера crypto.support@aol.com

Бичу Михаил
 Share

Рекомендуемые сообщения

Бичу Михаил Новичок

Бичу Михаил

Опубликовано
Опубликовано

Здравствуйте, сегодня в 5,30 сервер был зашифрован. Компьютер и службы - все работает, но все файлы зашифрованы.

В требовании прислать денег фигурирует адрес почты crypto.support@aol.com.

Помогите, пожалуйста.


В приложении сбор логов, как требуется

CollectionLog-2018.04.10-10.52.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

В требовании прислать денег фигурирует адрес

Этот файл с требованием выкупа вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Бичу Михаил Новичок

Бичу Михаил

Опубликовано
  • Автор
Опубликовано

Здравствуйте, во вложении файлы скана FRST, пара файлов зашифрованных и файл с требованием


https://virusinfo.info/virusdetector/report.php?md5=F7D2EBA8C2B0D81BAB8925F7403D187Bэто ссылка на анализ, но в 12.08 пишет, что надо подождать 20-30 минут

frst64.rar

требование и файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, тип вымогателя GlobeImposter 2.0 и расшифровки для него нет.

 

Дополнительно:

  • Загрузите GMER по одной из указанных ссылок:

    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробную инструкцию читайте в руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-659529732-3664465490-2895375501-1119\...\RunOnce: [BrowserUpdateCheck] => C:\Users\admin\AppData\Roaming\IntelFastFreezeService.exe [56320 2018-03-30] ()
2018-04-10 05:34 - 2018-04-10 05:34 - 000005476 _____ C:\Program Files\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Default\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\backup\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\ProgramData\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Program Files (x86)\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\how_to_back_files.html
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • website9527633
      Переобращение агента на сервер KSC
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

×
×
  • Создать...