crysis Заражение [decrypthelp@qq.com].arrow

[Vladimir.Petrov]

Добрый день. Вот и у нас вирус. Похоже декриптор. Файлы закодировались с расширением [decrypthelp@qq.com].arrow.Лог вложил.

CollectionLog-2018.06.14-09.19.zip

[Sandor]

Здравствуйте!

 

Увы, расшифровки для этого типа вымогателя нет.

 

Очень устаревшая версия антивируса у Вас установлена. Обновите.

 

Для очистки следов и мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vladimir.Petrov]

FRST.txt и Addition.txt

Addition.txt

FRST.txt

[Sandor]

Заражение точно произошло на этом компьютере?

[Vladimir.Petrov]

Заражение точно произошло на этом компьютере?

Это лог с сервера. Зашифрованы файлы в общей папке на сервере. Буду проверяю остальные компьютеры(прим.50)

[Vladimir.Petrov]

AVZ при скане выдает вот это(и после сканирования FRST тоже .Надо FIX?

7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\CIMntfy\CIMntfy.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)
>>> C:\WINDOWS\system32\CPQNiMgt\CPQNiMgt.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)

[Sandor]

Я видел. Это от продуктов HP.

Для верности, проверьте эти файлы на www.virustotal.com

Результат покажите (ссылку на него вставьте в сообщение).

[Vladimir.Petrov]

еще лог №2

№3

Addition.txt

FRST.txt

Addition.txt

FRST.txt

[Sandor]

Во избежание путаницы, создавайте для каждого ПК отдельную тему и начинайте с CollectionLog средствами Автологера.

проверьте эти файлы на www.virustotal.com Результат покажите (ссылку на него вставьте в сообщение)

Проверили?

[Vladimir.Petrov]

Проверил

https://www.virustotal.com/#/file/38e8d195dbdde29a921b9a4c02a5d8141be2cb433ef5fb336310b7a29b18a785/detection

https://www.virustotal.com/#/file/176be6dadb9d7d77109ba1e3cca7cb2946691e5e2d2afabf8a9c24437b9e4531/detection

[Sandor]

Для этого компьютера проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Vladimir.Petrov]

https://virusinfo.info/virusdetector/report.php?md5=A86F78AB726608CD4E2DFD84B130A25C

[Vladimir.Petrov]

Подскажите,как определить откуда шифровальщик запустился?RDP или по почте?

[Sandor]

Возможны оба варианта. Пароль на RDP смените так или иначе.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[mike 1]

Platform: Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2 (X86) Language: English (United States)

Internet Explorer Version 6 (Default browser: Opera)

Сервер не обновляется вот и ломанули с помощью эксплойта или банального перебора если политики не настроены. 

 

==================== Accounts: =============================

 

Administrator (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

Это вообще не безопасно. Гораздо проще подбирать пароли к стандартным учетным записям Windows, чем к нестандартным УЗ. Зачем Вам 3 УЗ Администратора? Порт 3389 у Вас открыт на сервере?

 

administartor (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

administrator$ (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

Изменено 15 июня, 2018 пользователем mike 1