Перейти к содержанию

tutanota.com ех (

asv
 Share

Рекомендуемые сообщения

asv Новичок

asv

Опубликовано
Опубликовано (изменено)

Здравствуйте. На момент заражения на компьютере не был установлен антивирус. 
Сработал от пользователя secret в терминальном режиме на сервере баз 1С8 примерно в 2 ночи 11 октября

33.rar

CollectionLog-2018.10.12-13.38.zip

Изменено пользователем asv
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F3537363936453634364637373230353337373639373436333638363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F35333638364637373733323034343635373336423734364637303245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F353336353732373636353732323034443631364536313637363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F344336313735364536333638323034393645373436353732364536353734323034353738373036433646373236353732323034323732364637373733363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\68656C707340747574616E6F74612E636F6D5F343834463537323034343435343335323439353035343230343634393443343535333245363837343631','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\484F5720444543524950542046494C45532E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\484F5720444543524950542046494C45532E687461','');
BC_ImportQuarantineList;
BC_Activate;
end.
После выполнения скрипта перезагрузите сервер вручную.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

В логах ничего плохого не видно. как и файлов злоумышлинников. Возможно вы ранее уже почистили. Кроме следующих:

2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\Users\Все пользователи\README.txt
2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\ProgramData\README.txt


Пробуйте выполнить запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Vlad21
      Вирус-шифровальщик @tutanota.com
      От Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • Alexg
      Сработал шифровальщик [conectme@tutanota.com][ID=501D1F42]name_of_file.HYDRA
      От Alexg
      Скорее всего через RDP пробрался шифровальщик на сервер, почти все зашифровало, система живая
       
       
      FRST.txt Addition.txt files.7z
    • Theri
      Шифровальщик [Blockcrack@tutanota.com].HELPME
      От Theri
      Здравствтуйте! Все файлы на нескольких дисках оказались зашифрованы, можно ли их расшифровать?
      decrypt_info.zip
    • GreenStamp
      Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]
      От GreenStamp
      Добрый день!
      Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.
      Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]
      Возможно ли восстановить систему и файлы? Что нужно и какие условия?

×
×
  • Создать...