Перейти к содержанию

Здравствуйте помогите пожалуйста шифровальщик зашифровал файлы на сервере

proldzhe
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

С расшифровкой помочь не сможем, увы.

Поможем с очисткой системы.

 

Сторонними средствами типа Акронис сделайте резервную копию.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe');
 TerminateProcessByName('c:\windows\media\long\certsvc.exe');
 StopService('WindowsCertificateService');
 QuarantineFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 DeleteSchedulerTask('DRPNPS');
 DeleteFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '32');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '64');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteService('WindowsCertificateService');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [442462558] = C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe
O4 - HKCU\..\Run: [CCleaner Smart Cleaning] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (file missing)
O4 - HKCU\..\Run: [CommFort client] = C:\Program Files (x86)\CommFort\CommFort.exe -tray (file missing)
O4-32 - HKLM\..\Run: [871082] = 871082  (file missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TMP] = (not exist)
O22 - Task: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing)
O22 - Task: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)
O26 - Debugger: HKLM\..\Magnify.exe: [Debugger] = C:\Windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe
O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\system32\cmd.exe

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...