Перейти к содержанию

Файлы компьютера зашифрованы шифровальщикоь BlackRuby. Названия поменялись на Encrypted_набор символов.BlackRubyLight


Рекомендуемые сообщения

Опубликовано

Windows Server 2003. Судя по всему вирус попал по RDP (я наблюдал процессы winlogon и (вроде) scrnsrv с кодами сеанса 2), пароль был 123456+три латинских символа. Зашифровал много. Т.к. я побоялся распространения, я сервер выключил и жесткий диск подключил к другой машине, предварительно установив на нее антивирус.

 

Кое-что было в резервных копиях, поэтому я прикладываю:
1) оригинальные файлы
2) зараженные файлы
3) текстовый файл с требованиями злоумышленников, в котором хранится открытый ключ.

4) какой-то кусок svchost из папки temp (возможно чем-то поможет)

Если понадобится, я дополнительно могу выслать любые необходимые для решения проблемы файлы. Можно попробовать прогнать диск программами восстановления файлов для выявления исходного вирусного исполняемого файла.

 

Заранее благодарю за помощь!

BlackRuby.zip

Опубликовано (изменено)

Этот автологгер можно запустить на другой системе, указав путь к зараженнной на другом диске?

Я не уверен, что смогу запустить систему и стремно, что вирус продолжит свое темное дело(

Из-под другой системы создал лог uVS из среды восстановления.

Если этого недостаточно, сообщите.

SERVER_2018-06-18_13-24-10.TXT

Изменено пользователем komsomolec
Опубликовано

Прикрепите J:\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HOW-TO-DECRYPT-FILES.TXT

 

+ Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.

 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.
 
Скопируйте FRST на флэш-накопитель:
 
FRST64.png?dl=1
 
Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в  компьютер. 
 
Выберите Командная строка
 
system%20recovery%20options.jpg?dl=1
 
В командной строке введите следующее:
 
notepad и нажмите клавишу Enter
Откроется Блокнот. В меню Файл выберите Открыть
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот. 
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание: Замените букву e на букву вашего флэш-накопителя. 
 
  • После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
  • Нажмите кнопку Scan
  • После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
FRST.png?dl=1
 
Опубликовано

В Windows Server 2003 интерфейс восстановления системы другой, конечно, но по аналогии сделал как вы указали. Файл HOW TO DECRYPT уже высылал в первом сообщении, дублирую во вложении.

Addition.txt

FRST.txt

Shortcut.txt

HOW-TO-DECRYPT-FILES.txt

Опубликовано

J:\WINDOWS\Temp\agacj.exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\OJBK[1].exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\newupdate[1].exe - quarantined

J:\Documents and Settings\All Users\Application Data\Windows\Classes\{a1e7b463-e13e-6517-9ca1-c41ae573976c}\msupdlgf.exe - quarantined

Опубликовано

Пришлите карантин Cureit в архиве. 

Он почему-то не сохранился( Я могу попробовать прогнать программой для восстановления и попытаться восстановить файлы вируса. Это может помочь?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • AltayResort
      Автор AltayResort
      Добрый День!
       
      Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls
      Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.
       Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее
      Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.
      С Уважением.
      ООО Алтай Резорт
       
    • nikolay_2009
      Автор nikolay_2009
      добрый день
      все фотки заблокированы и зашифрованы. 
      списывался с криптолокером. он дерзит и просит 15000р хотя и говорит что только рабочие компьютеры банит. выручайте.
      прикрепляю файлы из разных папок. "тела" вируса уже наверное нет. т.к. обратился за помощью к знакомому и он мне переустановил винду даже не активировав и файл логгера с вашего сайта. спасибо.  и фото почему то не загружаются((((. что делать? ни большие ни маленькие
      CollectionLog-2015.11.04-21.51.zip
    • big_boy840
      Автор big_boy840
      Есть расшифровщик или нет?
      У меня с такими же названиями maxcrypt@foxmail2.com файлы.
      Это значит, что расшифровщик его должен мне подойти?
    • Ердаулет
      Автор Ердаулет
      Вирус зашифровал все файлы в формат.bad зашифрованные файлы переместил в одну папку расшифровать не получается или я не правильно делаиу?
      CollectionLog-2015.10.20-00.47.zip
×
×
  • Создать...