Перейти к содержанию

Вирус зашифровал файлы на windows 2008 server

msk.dmit
 Поделиться

Рекомендуемые сообщения

msk.dmit

msk.dmit

Опубликовано
Опубликовано

Здравствуйте.

Вирус зашифровал файлы, в частности файлы 1С и sql базы данных. 

Формат имен сейчас такой  - 1Cv8.1CD.id-5605D527.[bfiles2@cock.li].ETH

 

Сборщик логов запустил, файл прикладываю.

Спасибо.


Файл с логами

CollectionLog-2019.02.19-16.39.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\payload.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','');
 TerminateProcessByName('c:\users\Сергей\downloads\payload.exe');
 QuarantineFile('c:\users\Сергей\downloads\payload.exe','');
 DeleteFile('c:\users\Сергей\downloads\payload.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','64');
 DeleteFile('C:\Windows\System32\payload.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Сергей\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

msk.dmit

msk.dmit

Опубликовано
  • Автор
Опубликовано

Ответ от VirusInfo

 

Результат загрузки Файл сохранён как 190219_161622_quarantine_5c6c2bd647b84.zip Размер файла 216078 MD5 2614158fc15a3d5553bdedff8dc9a43d Файл закачан, спасибо!

Новый файл сканирования прикладываю.

CollectionLog-2019.02.19-19.22.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [payload.exe] => C:\Windows\System32\payload.exe [94720 2019-02-19] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-19] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] ()
2019-02-19 19:14 - 2019-02-19 19:14 - 000094720 _____ C:\Windows\system32\payload.exe
2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Windows\system32\Info.hta
2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Users\Сергей\AppData\Roaming\Info.hta
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Сергей\Desktop\FILES ENCRYPTED.txt
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\FILES ENCRYPTED.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • saha96
      Обновление Windows server 2008 r2
      Автор saha96
      Доброго времени суток, после запуска установщика Windows Server 2012 появляется ошибка "Обновление невозможно, так как язык содержимого на установочном диске отличается от языка, используемого на компьютере. Перейдите по адресу http://go.microsoft.com/fwlink/?LinkID=142337 и узнайте, как установить Windows и не потерять при этом свои файлы и параметры." Кто знает как можно побороть данную проблему?
    • jangur
      Зашифрованы файлы windows server 2019
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
    • wumbo12
      Windows Server и Windows SP3
      Автор wumbo12
      Добрый день ! Мне нужна необходимая информация, нужен две пк поставить Windows SP 3 и Сервер , нужна старая версия , с актуальным матчем . 
       
      Не предлагать Windows 2012-2024 версии Сервера , а низкие версии .
      Не предлагать Windows 7,8,10 - нужна низкие операционные системы , с актуальным патчем .
    • VaDima32
      Ночью зашифровали сервер на Windows Server 2019. Все файлы с расширением .SyMat
      Автор VaDima32
      Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
      Заранее спасибо. 
      Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    
      Логи.zip Архив.zip
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...