michael.sidorovich Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Добрый день. У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. После выбора файлов для загрузки нужно нажать кнопку "загрузить" Ссылка на комментарий Поделиться на другие сайты More sharing options...
michael.sidorovich Опубликовано 23 февраля, 2019 Автор Share Опубликовано 23 февраля, 2019 (изменено) перезагрузил лог файл CollectionLog-2019.02.23-13.01.zip Изменено 23 февраля, 2019 пользователем michael.sidorovich Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe'); QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe',''); DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32'); DeleteFile('C:\Windows\winstart.bat','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32'); DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32'); DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
michael.sidorovich Опубликовано 25 февраля, 2019 Автор Share Опубликовано 25 февраля, 2019 после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться.. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно. Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти