ООО ТЕХНОПАРК 0 Опубликовано 10 сентября, 2018 Share Опубликовано 10 сентября, 2018 Добрый день! подверглись атаке шифровальщика. Поражение было осуществлено через email рассылку. Зашифрованными оказалось некоторое кол-во файлов на сетевом ресурсе. Хотелось бы вылечить зараженный компьютер и расшифровать файлы. На момент заражения на целевой машине стоял лицензионный Kaspersky Endpoint Security с актуальными обновлениями. Данные сборщика логов прилагаю. CollectionLog-2018.09.07-18.55.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 сентября, 2018 Share Опубликовано 10 сентября, 2018 Здравствуйте! Антивирус Касперского 6.0 для Windows Workstations - очень устаревшая версия, в которой нет защиты от шифрования. Расшифровки для этого типа вымогателя нет, будет только очистка возможных хвостов и мусора. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ООО ТЕХНОПАРК 0 Опубликовано 10 сентября, 2018 Автор Share Опубликовано 10 сентября, 2018 Отчеты прикрепил FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 сентября, 2018 Share Опубликовано 10 сентября, 2018 Ran by Andrey (ATTENTION: The user is not administrator) on ANDREYPCПеределайте, запустив утилиту правой кнопкой от имени администратора. Ссылка на сообщение Поделиться на другие сайты
ООО ТЕХНОПАРК 0 Опубликовано 10 сентября, 2018 Автор Share Опубликовано 10 сентября, 2018 Переделал FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 сентября, 2018 Share Опубликовано 10 сентября, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: 2018-09-05 10:35 - 2018-09-05 10:35 - 000000124 _____ C:\Users\Public\README.txt 2018-09-05 10:35 - 2018-09-05 10:35 - 000000124 _____ C:\Users\Public\Downloads\README.txt 2018-09-05 10:35 - 2018-09-05 10:35 - 000000124 _____ C:\Users\Andrey\AppData\README.txt 2018-09-05 10:35 - 2018-09-05 10:35 - 000000124 _____ C:\Users\Andrey\AppData\LocalLow\README.txt 2018-09-05 10:34 - 2018-09-05 10:34 - 000000124 _____ C:\Users\Все пользователи\README.txt 2018-09-05 10:34 - 2018-09-05 10:34 - 000000124 _____ C:\Users\Andrey\AppData\Local\README.txt 2018-09-05 10:34 - 2018-09-05 10:34 - 000000124 _____ C:\ProgramData\README.txt Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ООО ТЕХНОПАРК 0 Опубликовано 10 сентября, 2018 Автор Share Опубликовано 10 сентября, 2018 Подскажите, распространяется ли он по сети? Безопасно ли использовать исполняемые файлы, которые остались нетронутыми на сетевом ресурсе? Или же он отработав самоустраняется? Лог прикрепил Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 сентября, 2018 Share Опубликовано 10 сентября, 2018 Или же он отработав самоустраняется?Именно так. Попробуйте восстановить файлы средствами Windows. Антивирус обновите и обратите внимание на эту статью. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
ООО ТЕХНОПАРК 0 Опубликовано 10 сентября, 2018 Автор Share Опубликовано 10 сентября, 2018 Спасибо за помощь! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти