Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

 

У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? 

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.

Опубликовано

 

 

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.

После выбора файлов для загрузки нужно нажать кнопку "загрузить"

Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe','');
 DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32');
 DeleteFile('C:\Windows\winstart.bat','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32');
 DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32');
 DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Опубликовано

после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться..

Опубликовано

Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно.

 

Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...