michael.sidorovich 0 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Добрый день. У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении. После выбора файлов для загрузки нужно нажать кнопку "загрузить" Ссылка на сообщение Поделиться на другие сайты
michael.sidorovich 0 Опубликовано 23 февраля, 2019 Автор Share Опубликовано 23 февраля, 2019 (изменено) перезагрузил лог файл CollectionLog-2019.02.23-13.01.zip Изменено 23 февраля, 2019 пользователем michael.sidorovich Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 23 февраля, 2019 Share Опубликовано 23 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe'); QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe',''); DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32'); DeleteFile('C:\Windows\winstart.bat','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32'); DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32'); DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
michael.sidorovich 0 Опубликовано 25 февраля, 2019 Автор Share Опубликовано 25 февраля, 2019 после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться.. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 февраля, 2019 Share Опубликовано 25 февраля, 2019 Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно. Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти