Перейти к содержанию

tutanota.com ех (

asv
 Поделиться

Рекомендуемые сообщения

asv

asv

Опубликовано
Опубликовано (изменено)

Здравствуйте. На момент заражения на компьютере не был установлен антивирус. 
Сработал от пользователя secret в терминальном режиме на сервере баз 1С8 примерно в 2 ночи 11 октября

33.rar

CollectionLog-2018.10.12-13.38.zip

Изменено пользователем asv
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F3537363936453634364637373230353337373639373436333638363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F35333638364637373733323034343635373336423734364637303245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F353336353732373636353732323034443631364536313637363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F344336313735364536333638323034393645373436353732364536353734323034353738373036433646373236353732323034323732364637373733363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\68656C707340747574616E6F74612E636F6D5F343834463537323034343435343335323439353035343230343634393443343535333245363837343631','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\484F5720444543524950542046494C45532E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\484F5720444543524950542046494C45532E687461','');
BC_ImportQuarantineList;
BC_Activate;
end.
После выполнения скрипта перезагрузите сервер вручную.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано

В логах ничего плохого не видно. как и файлов злоумышлинников. Возможно вы ранее уже почистили. Кроме следующих:

2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\Users\Все пользователи\README.txt
2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\ProgramData\README.txt


Пробуйте выполнить запрос на расшифровку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ilk006
      Шифратор с почтой kares@keemail.me
      Автор ilk006
      Добрый день!
      Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.
       
      README.txt следующего содержания:
       
      Содержание README.txt:
        Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?   Способ заражения пока неизвестен, предположительно с рабочей флешки жены.   Стоит ли надеяться и искать способы расшифровки или безнадежно?    
    • rrustam
      Заражение файлов на сервере
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
    • suba-ru
      Шифровальщик на Server2008 R2
      Автор suba-ru
      Добрый день. Знакомые позвонили- зашифрованы бызы 1с и содержимое архивов на Win2008R2.
      Пока доступа к компу нету- надо ехать/ Сориентируйте есть смысл пытаться расшифровать или нет?
      В папках файлик такой. Файлы без расширений цифробуквеный набр.. Файлы Exel  со слов  не зашифрованы
        Заранее спасибо за ответ

      Что-то файл не прицепился
      Your files are encrypted! YOUR PERSONAL ID rdOGG72awGSkwHZLkfAmSaoZXrluIddzjdyCws7f --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key ---------------------------------------------------------------------------------
    • Den4eG01
      Зашифровали все файлы (без расширения)
      Автор Den4eG01
      Добрый день! Пришли с утра на работу,подключились к серверу RDP и там все файлы зашифрованы и имеют имена состоящие из букв и цифр не умеющие расширения! запросили 1000 USD в биткоинах! 
      cureit.log
      CollectionLog-2018.12.11-15.24.zip
    • receiver
      Зашифрованы базы 1С
      Автор receiver
      Проблема один в один.

      https://forum.kasperskyclub.ru/index.php?showtopic=60803&page=0


      Сообщение от модератора SQ Пожалуйста не пишите в чужих темах. Каждый случай уникален.
×
×
  • Создать...