imaginedm 0 Опубликовано 15 мая, 2018 Share Опубликовано 15 мая, 2018 Добрый день! Сегодня на Windows 2012 R2 обнаружил, что вирус зашифровал файлы, включая многогиговые бэкапы Акрониса. Никаких следов вируса не могу найти ни одним антивирусом. Все файлы имеют расширение:....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment В каждой папке лежит HOW TO DECRYPT FILES.txt. Текст в нем выглядит следующим образом: All your important files were BLOCKED on this computer. Encrtyption was produced using unique KEY generated for this computer. To decrypted files, you need to otbtain private key. The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet; The server will destroy the key within 24 hours after encryption completed. REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY! To retrieve the private key, you need to pay 0.7 BTC Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com with subject : ERROR-ID-63100606(0.7BTC) If you are not familiar with bitcoin you can buy it from here : SITE : www.localbitcoin.com If you try to use third party for help we will delete all your files After we confirm the payment , we send the private key so you can decrypt your system. Архивы логов программ прилагаю, а также пример файла прилагаю. Буду благодарен за помощь! CollectionLog-2018.05.15-23.12.zip FRST.rar encrypted_file.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 15 мая, 2018 Share Опубликовано 15 мая, 2018 Образец зашифрованного doc или docx файла прикрепите в архиве к следующему сообщению. + Выполните скрипт в AVZ begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\Fonts\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\Font.exe',''); QuarantineFile('C:\ProgramData\winhost.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter'); DeleteFile('C:\Users\admin1\AppData\Local\Temp\N75Q8UQ7qq4D3Vd.exe','32'); DeleteFile('C:\ProgramData\winhost.exe','64'); DeleteFile('C:\Windows\system32\Tasks\WinHostStartForMachne','x64'); DeleteFile('C:\Windows\Fonts\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\Font.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); end. Обратите внимание: перезагрузка компьютера нужно выполнить вручную.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
imaginedm 0 Опубликовано 15 мая, 2018 Автор Share Опубликовано 15 мая, 2018 Образец зашифрованного файла в приложении. Логи в приложении. Ответ ниже. ---------------------- Re: quarantine.zip [KLAN-8070559489] Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:Font.exeВ перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:winhost.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.genФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ docx-file.rar CollectionLog-2018.05.16-01.04.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 15 мая, 2018 Share Опубликовано 15 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
imaginedm 0 Опубликовано 16 мая, 2018 Автор Share Опубликовано 16 мая, 2018 Отчеты Farbar прилагаю. Farbar.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 SpyHunter 4 удалите через Установку программ. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: Startup: C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\farzad1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\Guest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\Root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\user_remote1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\user_remote2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () Startup: C:\Users\user_remote2.ALPHA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] () 2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt 2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt 2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Users\Administrator\AppData\Local\HOW TO DECRYPT FILES.txt Task: {1785862C-BEED-4A11-ADB0-4B3DE315A73E} - \WinHostStartForMachne -> No File <==== ATTENTION Tcpip\..\Interfaces\{50E88324-1E0A-45E6-A0AD-544700A97794}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{ECA4BE85-8567-4236-A3D7-033E0B828486}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера необходимо выполнить вручную. Ссылка на сообщение Поделиться на другие сайты
imaginedm 0 Опубликовано 16 мая, 2018 Автор Share Опубликовано 16 мая, 2018 SpyHunter удалил. FixLog прилагаю. Fixlog.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 Позже (после работы) выдам расшифровку Ссылка на сообщение Поделиться на другие сайты
imaginedm 0 Опубликовано 16 мая, 2018 Автор Share Опубликовано 16 мая, 2018 Спасибо большое!!! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 мая, 2018 Share Опубликовано 16 мая, 2018 Проверьте ЛС Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти