scarab omerta34@goat.si

[michael.sidorovich]

Добрый день.

 

У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? 

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.

[Mark D. Pearlstone]

 

 

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.

После выбора файлов для загрузки нужно нажать кнопку "загрузить"

[michael.sidorovich]

перезагрузил лог файл

CollectionLog-2019.02.23-13.01.zip

Изменено 23 февраля, 2019 пользователем michael.sidorovich

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe','');
 DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32');
 DeleteFile('C:\Windows\winstart.bat','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32');
 DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32');
 DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[michael.sidorovich]

после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться..

[thyrex]

Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно.

 

Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера.