Новый шифратор id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

[shekh_d]

Здравствуйте все.

Пришли сегодня на работу и увидели счастье на одном из удалённых серверов, пошифрилось всё этим гадом id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

 

KES 10.3.3.275 был установлен, но не понятно, был ли запущен в момент Х, Server 2008 R2

 

Если я правильно понял, то это новая разновидность зверя CrySiS

 

Лог автологгера прилагаю, могу прислать, при необходимости, примеры шифрованных файлов и их нешифрованные оригиналы.

 

Прошу помощи...

[regist]

 

 

Лог автологгера прилагаю

наверно забыли нажать загрузить.

[shekh_d]

Да, прошу прощения. Загрузил в этом сообщении

CollectionLog-2018.12.21-12.03.zip

[Sandor]

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.

[shekh_d]

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.

 

Сервер удалённый, доступ есть только по RDP или по Ammyy Admin.

Через Ammyy подойдёт?

CollectionLog-2018.12.21-16.43.zip

Изменено 21 декабря, 2018 пользователем shekh_d

[shekh_d]

Вариант с амми устроил? Или мне собираться и ехать к серваку за 400 км?

[Sandor]

Вариант с амми устроил?

Да.

Вынужден огорчить, расшифровки этого типа вымогателя нет.

Создайте запрос на расшифровку. Может со временем и появится.

 

Здесь для очистки следов:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User11\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 28 декабря, 2018 пользователем Sandor

[d13]

Сообщение от модератора kmscom

вы не имеете прав писать в чужих темах данного раздела
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"».