Зашифрованы файлы в каждое имя встроена почта [amber777king@tutanota.com]

30 марта, 2019

ОС: Windows server 2008 r2 standard

Зашифрованы файлы в каждое имя файла встроена почта [amber777king@tutanota.com]

на экране окно с просьбой выслать на выше указанный адрес письмо с содержанием [b09C4F0B]

CollectionLog-2019.03.30-18.56.zip

30 марта, 2019

С расшифровкой помочь не сможем. Будет только зачистка мусора.

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rezzalbob\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rezzalbob\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

30 марта, 2019

Выполнил скрипт.

Перезапустил сервак.

создал очередной файл.

По поводу расшифровать? обращаться только к злоумышлиннику? что конечно не хотелось бы

или есть какая то коммерческая альтернатива по расшифровки?

CollectionLog-2019.03.30-19.44.zip

30 марта, 2019

Увы, ни одна из последних многочисленных версий CrySis не дешифруется силами антивирусных компаний.

30 марта, 2019

Понятно!

Спасибо за помощь

Есть версии какой уязвимость воспользовались для взлома?

30 марта, 2019

С вероятностью 99% вход по RDP после подбора простого пароля. Об этом говорит время появления шифрованных файлов и сообщений от вымогателей.

Зашифрованы файлы в каждое имя встроена почта [amber777king@tutanota.com]

Рекомендуемые сообщения

Дмитрий Серяков

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Серяков

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Серяков

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum