Racuda 0 Опубликовано 28 мая, 2018 Share Опубликовано 28 мая, 2018 Зашифрованы файлы на локальной машине и на подключенных папках сетевого хранилища Synology. Заражение кажется произошло через удаленный рабочий стол. Прикладываю отчеты и требование вредителей. Помогите. Заранее спасибо. Логи. FRST.rar README.rar CollectionLog-2018.05.29-01.00.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 29 мая, 2018 Share Опубликовано 29 мая, 2018 Здравствуйте! Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Racuda 0 Опубликовано 29 мая, 2018 Автор Share Опубликовано 29 мая, 2018 Здравствуйте! Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению. ok Здравствуйте! Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению. ok helps@tutanota.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 29 мая, 2018 Share Опубликовано 29 мая, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\SysWOW64\README.hta 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\SysWOW64\Drivers\README.hta 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\system\README.hta 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\README.hta 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\Users\User4\Downloads\README.hta 2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\Users\User4\Documents\README.hta 2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\README.hta 2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta 2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\LocalLow\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Все пользователи\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\AppData\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\AppData\Local\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Public\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Public\Documents\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\Documents\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Local\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\Documents\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Local\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.hta 2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.hta 2018-05-28 03:00 - 2018-05-28 03:00 - 000009026 _____ C:\Program Files (x86)\README.hta 2018-05-28 02:59 - 2018-05-28 02:59 - 000009026 _____ C:\Program Files\README.hta 2018-05-28 02:59 - 2018-05-28 02:59 - 000009026 _____ C:\Program Files\Common Files\README.hta 2018-05-28 02:58 - 2018-05-28 02:58 - 000009026 _____ C:\Users\User4\Desktop\README.hta 2018-05-28 02:58 - 2018-05-28 02:58 - 000009026 _____ C:\README.hta Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Постарайтесь найти пару зашифрованный и его не зашифрованный оригинал. Ищите такой в резервных копиях, в почте, на других ПК и т.п. Ссылка на сообщение Поделиться на другие сайты
Racuda 0 Опубликовано 29 мая, 2018 Автор Share Опубликовано 29 мая, 2018 ok Fixlog.txt пара.RAR Ссылка на сообщение Поделиться на другие сайты
g0105 0 Опубликовано 29 мая, 2018 Share Опубликовано 29 мая, 2018 Аналогичная фигня произошла сегодня ночью.... если получиться расшифровать лекарство будет одинаково? или мне тоже логи присылать? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 29 мая, 2018 Share Опубликовано 29 мая, 2018 @g0105, здравствуйте! или мне тоже логи присылать?Да, причем, для этого создайте свою тему. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 30 мая, 2018 Share Опубликовано 30 мая, 2018 @Racuda, проверьте ЛС. Ссылка на сообщение Поделиться на другие сайты
Racuda 0 Опубликовано 31 мая, 2018 Автор Share Опубликовано 31 мая, 2018 Спасибо БОЛЬШОЕ! Сработало на половину. 2/3 файлов раскрылись. Похоже одновременно два шифровальщика работало. Во вложении все необходимые файлы. всевместе.RAR Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 мая, 2018 Share Опубликовано 31 мая, 2018 (изменено) ожидайте. Изменено 31 мая, 2018 пользователем regist Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 5 июня, 2018 Share Опубликовано 5 июня, 2018 проверьте ЛС. Ссылка на сообщение Поделиться на другие сайты
Racuda 0 Опубликовано 10 июня, 2018 Автор Share Опубликовано 10 июня, 2018 Спасибо! Все расшифровалось. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 10 июня, 2018 Share Опубликовано 10 июня, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти