valasvk Опубликовано 3 сентября, 2018 Опубликовано 3 сентября, 2018 Сегодня пришел на работу. Начали звонить пользователи, что не видят данных. Зашел на сервер -увидел зашифрованные файлы и сообщение вымогателя. Сообщение прикрепляю вместе с логами сервера. Инструкция по расшифровки omerta.TXT CollectionLog-2018.09.03-10.01.zip
valasvk Опубликовано 3 сентября, 2018 Автор Опубликовано 3 сентября, 2018 Похоже нашел первоисточник! Временная папка, которая содержит инструменты вируса и похоже сам вирус. Архив запоролен. Пароль 123. Строгое предупреждение от модератора thyrex Не нужно выкладывать вредоносы в открытый доступ Ну извините! Думал, что тем, кто занимается вредоносами это может помочь в раскрутке! Строгое предупреждение от модератора thyrex И править сообщения с модераторским тэгом тоже не стоит
mike 1 Опубликовано 3 сентября, 2018 Опубликовано 3 сентября, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\ProgramData\onedrive.exe',''); TerminateProcessByName('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe'); QuarantineFile('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe',''); DeleteFile('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe','32'); DeleteFile('C:\ProgramData\onedrive.exe','64'); ExecuteSysClean; end. выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером.
valasvk Опубликовано 4 сентября, 2018 Автор Опубликовано 4 сентября, 2018 Здравствуйте. Файлы карантина и логов отправлены в личку.
mike 1 Опубликовано 4 сентября, 2018 Опубликовано 4 сентября, 2018 Логи грузятся на форум в Вашей теме.
valasvk Опубликовано 4 сентября, 2018 Автор Опубликовано 4 сентября, 2018 (изменено) Хорошо! Отправляю логи в тему... CollectionLog-2018.09.04-08.56.zip Изменено 6 сентября, 2018 пользователем mike 1 Удален карантин из вложений
mike 1 Опубликовано 4 сентября, 2018 Опубликовано 4 сентября, 2018 Карантин кто-то просил выкладывать в теме? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
valasvk Опубликовано 4 сентября, 2018 Автор Опубликовано 4 сентября, 2018 Логи Farbar Addition.txt FRST.txt
mike 1 Опубликовано 5 сентября, 2018 Опубликовано 5 сентября, 2018 А раз не просили, то тогда зачем Вы его прикрепили в 6 сообщении? Ну извините! Думал, что тем, кто занимается вредоносами это может помочь в раскрутке Лицензия на наш антивирус у Вас имеется?
valasvk Опубликовано 6 сентября, 2018 Автор Опубликовано 6 сентября, 2018 1. Выложил, потому что не знаю еще всех тонкостей Вашего форума Обратно удалить уже не дает, поэтому исправить уже ничего не возможно. 2. Имеется.
mike 1 Опубликовано 6 сентября, 2018 Опубликовано 6 сентября, 2018 1. Вредоносное ПО в открытый доступ не выкладывают. Это можно классифицировать как УК 273 РФ и ответственность будете нести Вы. 2. Создайте запрос на расшифровку раз имеете лицензию https://forum.kasperskyclub.ru/index.php?showtopic=48525 3. Карантин из Вашего сообщения я удалил.
valasvk Опубликовано 7 сентября, 2018 Автор Опубликовано 7 сентября, 2018 Запрос на расшифровку я уже создал. Спасибо.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти