Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

сегодня перестал отвечать сервер (1С), оказалось что через udp порт пришел троян шифровальщик ( id-EA7B4B15.[veracrypt@foxmail.com].adobe) и зашифровал все данные вместе с БД.

 

По неосторожности начал проверку установленным каспером (во время атаки он не работал) и видимо он успел удалить 2-3 файла вируса. прикреплю выдержку из лога каспера(kes10.txt).

 

 

CollectionLog-2019.01.31-13.10.zip

kes10.txt

Опубликовано (изменено)

Здравствуйте!

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
Создайте запрос на расшифровку.

 

Спасибо, сделал по инструкции.

Очень быстро ответили, спасибо.

Я правильно понимаю - что сервер вне опасности теперь? Или кроме расшифровки его лучше прошерстить антивирусом?

Возник вопрос по расшифровке:

Описал проблему как мог, приложил те же файлы что в этой теме выкладывал.

Этого достаточно? или еще что то может понадобиться? Как думаете?

 

 

Я просто первый раз на этом форуме и с проблемой шифровальщиков столкнулся.

 

А как быстро они обычно отвечают? просто работа бухгалтерии стоит(

 

Если что лицензия корпоративная, соответственно и обращался в поддержку CompanyAccount

Изменено пользователем vudguit
Опубликовано

Этого достаточно?

Пару зашифрованных документов вместе с запиской с требованием выкупа упакуйте и тоже добавьте.

Ссылку на эту тему можете там указать.

 

просто работа бухгалтерии стоит

Не хочется огорчать, но быстрого решения вероятнее всего не будет.
Опубликовано

Жаль конечно же((( Но что поделаешь. Спасибо за помощь

Опубликовано

 

Этого достаточно?

Пару зашифрованных документов вместе с запиской с требованием выкупа упакуйте и тоже добавьте.

Ссылку на эту тему можете там указать.

 

просто работа бухгалтерии стоит

Не хочется огорчать, но быстрого решения вероятнее всего не будет.

 

Можно ли определить как был получен вирус? Какой пользователь, какой процесс его активировал?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...