Дмитрий Серяков 0 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 ОС: Windows server 2008 r2 standard Зашифрованы файлы в каждое имя файла встроена почта [amber777king@tutanota.com] на экране окно с просьбой выслать на выше указанный адрес письмо с содержанием [b09C4F0B] CollectionLog-2019.03.30-18.56.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 С расшифровкой помочь не сможем. Будет только зачистка мусора. Выполните скрипт в AVZ из папки Autologger begin DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Info.hta','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rezzalbob\AppData\Roaming\Info.hta','x32'); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rezzalbob\AppData\Roaming\Info.hta','x64'); DeleteFile('C:\Users\rezzalbob\AppData\Roaming\Info.hta','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
Дмитрий Серяков 0 Опубликовано 30 марта, 2019 Автор Share Опубликовано 30 марта, 2019 Выполнил скрипт. Перезапустил сервак. создал очередной файл. По поводу расшифровать? обращаться только к злоумышлиннику? что конечно не хотелось бы или есть какая то коммерческая альтернатива по расшифровки? CollectionLog-2019.03.30-19.44.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 Увы, ни одна из последних многочисленных версий CrySis не дешифруется силами антивирусных компаний. Ссылка на сообщение Поделиться на другие сайты
Дмитрий Серяков 0 Опубликовано 30 марта, 2019 Автор Share Опубликовано 30 марта, 2019 Понятно! Спасибо за помощь Есть версии какой уязвимость воспользовались для взлома? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 С вероятностью 99% вход по RDP после подбора простого пароля. Об этом говорит время появления шифрованных файлов и сообщений от вымогателей. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти