stopencrypt@qq.com .adobe Ransom/Win32/Wadhrama.C

[AleksWays 0]

Помогите с расшифровкой файлов на server 2012

stopencrypt@qq.com  .adobe Ransom/Win32/Wadhrama.C

[Sandor 1 296]

Здравствуйте!

 

Порядок оформления запроса о помощи

[AleksWays 0]

Здравствуйте!

Логи во вложении.

А вот и сами логи

CollectionLog-2018.12.17-13.55.zip

[Sandor 1 296]

"Remote Manipulator System - Host" - ставили самостоятельно?

 

Слишком много общих ресурсов, в том числе все диски. Закройте или задайте сложный пароль.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('Java1');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-A8CE205A.[stopencrypt@qq.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Test\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Test\Desktop\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-A8CE205A.[stopencrypt@qq.com].adobe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-A8CE205A.[stopencrypt@qq.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Test\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Test\Desktop\svchost.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-A8CE205A.[stopencrypt@qq.com].adobe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('Java1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Test\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[AleksWays 0]

Повторно AutoLogger

quarantine.zip [KLAN-9301805195]

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
desktop.ini.id-A8CE205A.[stopencrypt@qq.com].adobe
Info.hta
Info_0.hta
desktop.ini.id-A8CE205A.[stopencrypt@qq.com]_0.adobe
Info_1.hta

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Шансы на расшифровку есть?

[Sandor 1 296]

Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждем.

[AleksWays 0]

log

CollectionLog-2018.12.17-17.46.zip

[Sandor 1 296]

Шансы на расшифровку есть?

Об этом спросите в тех-поддержке.

 

Здесь для проверки и очистки следов дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.