it4 0 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 (изменено) Отправлено 20 Август 2018 - 06:37 Добрый день. На NetGear подняты Общие ресурсы на Томе RAID. 22.10.2018 все файлы в папках приняли зашифрованный вид. Зашифровались данные и были преобразованы в файлы без расширения Проверка с помощью kaspersky virus removal tool не дала результатов. Прикрепляю лог из autologger'а. Буду благодарен за любую помощь. Также, прикрепляю отчеты FRST и README CollectionLog-2018.10.23-02.57.zip README.zip FRST.zip Изменено 23 октября, 2018 пользователем it4 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 Это CryptConsole 3. Без ключей, уникальных для каждого компьютера, расшифровать невозможно. Ничего плохого логи не показали. Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 23 октября, 2018 Автор Share Опубликовано 23 октября, 2018 Как нам быть в такой ситуации, чтобы вернуть файлы в первоначальный вид? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 Без обращения к злоумышленникам, увы, никак. Используется безопасный метод генерации ключей, подобрать которые в принципе нереально. Но к ним на свой страх и риск, если решитесь. Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 24 октября, 2018 Автор Share Опубликовано 24 октября, 2018 Добрый день! выкладываю свежие логи из autologgerа. Также, прикрепляю отчеты FRST и еще один README Из последних вложений можно увидеть ПК, с которого прошло шифрование и каким способом? FRST.zip README.txt CollectionLog-2018.10.24-14.54.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 24 октября, 2018 Share Опубликовано 24 октября, 2018 () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe эти процессы от программы удаленного администрирования Вам врядли известны? А там и TeamViwer еще, и Radmin... Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 Мы заметили в ленте, что пользователь papakarloоплатил требования злоумышленников и провел оплату дешифровщика. Ситуация и README.txt схожа с нашим Скрин прилагаю Стоит ли нам подождать пока появиться дешифратор с ключами по нашей проблеме? Подозрительно то, что на всех ПК и серверах стоит Касперский Internet Security и он не обнаружил угрозы заражения Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 Ключ шифрования уникальный для каждого компьютера и генерируется при работе шифратора, поэтому его дешифратор со встроенным ключом под его случай Вам не подойдет. Лучше бы ответили на вопрос, заданный Вам, а не мониторили похожие темы. Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 25 октября, 2018 Автор Share Опубликовано 25 октября, 2018 () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe эти процессы от программы удаленного администрирования Вам врядли известны? А там и TeamViwer еще, и Radmin... Дaнные процессы нам неизвестны. TeamViewer стоит для запуска вручную, а не службой. Radmin тоже установлен для настройки самого сервера Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 октября, 2018 Share Опубликовано 25 октября, 2018 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe',''); QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe',''); SetServiceStart('spoolmngservice', 4); DeleteService('spoolmngservice'); SetServiceStart('dbssmgr', 4); DeleteService('dbssmgr'); TerminateProcessByName('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe'); QuarantineFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe',''); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','32'); DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','32'); DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 26 октября, 2018 Автор Share Опубликовано 26 октября, 2018 Ответ загрузки по ссылке https://virusinfo.in...s.php?tid=37678 Результат загрузки Файл сохранён как 181026_042948_quarantine_5bd2983c18951.zip Размер файла 3984997 MD5 2ddd0dfb0d119df8a8910b08aa8e36b4 Файл закачан, спасибо! Добавили свежие логи из autologgerа. CollectionLog-2018.10.26-07.33.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 26 октября, 2018 Share Опубликовано 26 октября, 2018 Сделайте новые логи Farbar Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 26 октября, 2018 Автор Share Опубликовано 26 октября, 2018 Логи FRST Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 26 октября, 2018 Share Опубликовано 26 октября, 2018 1. Выделите следующий код: Start:: CreateRestorePoint: Tcpip\..\Interfaces\{1848D245-94CF-4BD8-A187-19CFF01416BA}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{BCA0E640-22C3-408E-843D-5F5E3462959B}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom Startup: C:\Users\Али\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-10-22] () 2018-10-22 04:55 - 2018-10-22 04:55 - 000001211 _____ C:\Users\Али\AppData\Local\Temp\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\AppData\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\Documents\README.txt c:\windows\inf\ssmngservice End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную. Ссылка на сообщение Поделиться на другие сайты
it4 0 Опубликовано 29 октября, 2018 Автор Share Опубликовано 29 октября, 2018 Отправляю файл fixlog Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти