Перейти к содержанию
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

шифровальщик на контролере домена

a.kashirin@inbox.ru
 Поделиться

Рекомендуемые сообщения

a.kashirin@inbox.ru

a.kashirin@inbox.ru

Опубликовано
Опубликовано

Поймали шифровальщик на контролер домена, в корне С файл с текстом "write your country and server ip to tapok@tuta.io" В AD у пользователей изменены пароли, изменить не получается, создать нового пользователя тоже не получается. Win 2012 R2. Курейт ничего не нашёл.

CollectionLog-2019.03.13-12.16.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сделайте внешними средствами (например, Акронисом) резервную копию системы, затем:

"Пофиксите" в HijackThis:

O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2351134484-3091384311-792247948-1122\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2351134484-3091384311-792247948-1122\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
Перезагрузите компьютер и соберите новый CollectionLog.
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

a.kashirin@inbox.ru

a.kashirin@inbox.ru

Опубликовано
  • Автор
Опубликовано

по данному серверу проблема не актуальна, восстановили из бэкапа. Данная проблема осталась на др сервере, по нему новую тему создавать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dimax2006
      Шифровальщик email-komar@tuta.io.ver-CL 1.3.1.0.
      Автор Dimax2006
      Добрый день.
      Обнаружил  сегодня вот такую беду на сервере. Почти все файлы зашифрованы.
      Имена файлов вида "email-komar@tuta.io.ver-CL 1.3.1.0.id-@@@@@62F2-58F3.randomname-LMNOPQQRSTUUUVWWXYYYZABBCDDDEF.GHH" с разными расширениями.
      Так же есть текстовые файлы с содержанием "files encrypted write you country to komar@tuta.io"
       
       
      CollectionLog-2017.08.24-12.53.zip
    • no_ise
      Два шифровальщика
      Автор no_ise
      Точно такая же проблема сегодня с утра...
      Что самое интересное, по всей видимости, поработало два шифровальщика. Часть файлов как у ТС, а часть файлов с расширением *.wncry
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • Genka_kg
      За шифровались файлы расширения разные у всех .еее .ttt и т.д
      Автор Genka_kg
      Добрый день. Поймали вирус скорей всего через почту  все файлы за шифрованны в таком виде:
       
      email-crypthelp@qq.com.ver-CL 1.3.1.0.id-UVWWXYYZAAAABBCDDEEEFFGGHHIJJJJKKLMM-27.08.2017 16@13@427221877@@@@@804F-75E3.randomname-FFFGHHGHHIIJJKKKLLMMNOOOOPPQQR.SSS
       
      файл с требованием такой: for decrypt files write you country to crypthelp@qq.com
       
      про бывал утилиту RannohDecryptor не помогает. Есть дешифратор на этот вирус.? Помогите пожалуйста!
       
    • heliopark_nebug
      Прошу помочь с расшифровкой [Virus.Win32.Parite.c]
      Автор heliopark_nebug
      Добрый день.
      Прошу вас помочь с расшифровкой файлов, поврежденных вирусом Exploit.Win64.CVE-2015-1701.a или Virus.Win32.Parite.c.
      Прикладываю отчет AutoLogger'а после проверки ПК утилитой Kaspersky Rescure Disk 10. Отчет самого антивируса.
      Зашифрованные файлы имею название типа:
      email-komar@tuta.io.ver-CL 1.3.1.0.id-NORM@@@@@A40B-C424.randomname-YBDDHIKLIIJKLLMMNNOPQRRRSTTUVV.WXX.yzz
      с различными расширениями. В корне каждой папки readme.txt
       
      вирус проник на ПК посредством уязвимости в безопасности rdp
      ScanObject.txt
      CollectionLog-2017.08.24-14.33.zip
    • Jackie
      шифровальщик email-200usd@india.com
      Автор Jackie
      Здравствуйте!

      Помогите пожалуйста расшифровать файлы! 

      Прислали вирус шифровальщик в виде видео-приграшения на свадьбу, открыв псевдо-видео запустил вирус.

      Зашифровались абсолютно все фотографии, плоть до системных картинок, текстовые документы, пдф презентации.

      Еще повсюду появились текстовые документы с таким содержанием: файлы зашифрованы, для дешифровки

      пиши на почту 200usd@india.com
      Обнаружив такое, прочистил системный диск и удалил все сомнительные папки и программы.
      Могу прикрепить файл нажав на который запустилось шифрование
      CollectionLog-2017.02.03-15.05.zip
×
×
  • Создать...