Перейти к содержанию

Новый шифратор id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

shekh_d
 Share

Рекомендуемые сообщения

shekh_d Новичок

shekh_d

Опубликовано
Опубликовано

Здравствуйте все.

Пришли сегодня на работу и увидели счастье на одном из удалённых серверов, пошифрилось всё этим гадом id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

 

KES 10.3.3.275 был установлен, но не понятно, был ли запущен в момент Х, Server 2008 R2

 

Если я правильно понял, то это новая разновидность зверя CrySiS

 

Лог автологгера прилагаю, могу прислать, при необходимости, примеры шифрованных файлов и их нешифрованные оригиналы.

 

Прошу помощи...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.
Ссылка на комментарий
Поделиться на другие сайты
shekh_d Новичок

shekh_d

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.

 

Сервер удалённый, доступ есть только по RDP или по Ammyy Admin.

Через Ammyy подойдёт?

CollectionLog-2018.12.21-16.43.zip

Изменено пользователем shekh_d
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Вариант с амми устроил?

Да.

Вынужден огорчить, расшифровки этого типа вымогателя нет.

Создайте запрос на расшифровку. Может со временем и появится.

 

Здесь для очистки следов:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User11\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
d13 Новичок

d13

Опубликовано
Опубликовано

Сообщение от модератора kmscom
вы не имеете прав писать в чужих темах данного раздела
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"».
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Остафьево
      Подключение рабочих станций к новому серверу администрирования
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • Galem333
      сестра скачала шифратор на ноутбук
      От Galem333
      Всем здравствуйте, Опишу в кратце что произошло. Прихожу домой я с тренировки и вижу на мамином ноутбуке такою картину (фото приклал) Моя сестра сказала что захотела поиграть в роблокс (детская игра) но не просто поиграть в игру а поиграть с читами некий друг по игре (которого она вообще в реальности не знает) скидывает ей файлик с этим так называемым читом ну она его открыла и компьютер перезагрузился а шифратор удалил все данные на мамином ноутбуке ну так вот дело в том что это не просто какой-то шифратор а самый настоящее зло которое сломала виндовс и не даëт что либо сделать с ОС прошу помогите!!!!!! (Логи я не могу предоставить т.к вирус превратил всю виндовс в блокнот) 


      Ноутбук сломан вариант с безопасным режимом сразу можно отмести
×
×
  • Создать...