шифровальщик audit@cock.li

[Deppa]

Примерно так теперь выглядят зашифрованные файлы.

sample.doc.id-USERID.[audit@cock.li].risk

WinServ2012R2. На машине стоит агент от KSC 10. Злоумышленник получил доступ к админской учетке перебором, перебором же вырубил агента. (Пока предположение, анализ в процессе)

На данный момент выполнена проверка KVRT , удалено два trojan-ransom.win32.crusis.to , RakhniDecryptor результата не дал.

Просьба помочь.

 

Файл сборщика логов в приложении.

CollectionLog-2018.12.03-16.17.zip

[SQ]

Здравствуйте,

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Deppa]

Пожалуйста.

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-30] ()
  2018-11-30 22:33 - 2018-11-30 22:33 - 000013904 _____ C:\Users\Test\AppData\Roaming\Info.hta
  File: C:\Windows\SysWOW64\haspaddr.dat
  Folder: C:\Users\Test\WINDOWS
  File: C:\Users\Deppa\AppData\Local\Temp\nagrest.exe
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

 

 

Обратите внимание, на системные события:

Error: (12/04/2018 11:53:44 AM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY)
Description: Обнаружено повреждение в структуре файловой системы на томе D:.

Основная таблица файлов (MFT) содержит поврежденную запись файла.  Номер ссылки файла: 0x1000000000bc7.  Имя файла: "<не удалось определить имя файла>".

При этом важно не выполнять проверку диска, если имееются важные данные на нем.

[Deppa]

Готово.

Fixlog.txt

[SQ]

Пробуйте выполнить следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Deppa]

Заявку оставил, спасибо большое за помощь.