Dmitriy2018 0 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика.. CollectionLog-2018.07.09-09.57.zip how_to_back_files.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 1) Логи сделаны в терминальной сессии, сделайте их из консоли. 2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы. Ссылка на сообщение Поделиться на другие сайты
Dmitriy2018 0 Опубликовано 9 июля, 2018 Автор Share Опубликовано 9 июля, 2018 Логи переснял CollectionLog-2018.07.09-13.59.zip how_to_back_files.7z зашифрованные файлы.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 июля, 2018 Share Опубликовано 9 июля, 2018 Это GlobeImposter 2.0, расшифровки нет. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', ''); QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32'); DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64'); DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 добрый день. Какие то новости по шифровальщику уже есть? Можно ли восстановить файлы? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 @Ulvi, 1. Нагло врываться в чужую тему не стоит 2. Расшифровки ни одной из версий GlobeImposter 2 нет Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти