Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, поймал шифровальщик veracrypt@foxmail.com.

Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.

Опубликовано

Два замечания:

1. При выполнении рекомендаций все остальные запущенные программы следует по возможности закрывать.

2. Не цитируйте полностью предыдущее сообщение, а используйте форму быстрого ответа внизу.

 

Вопросы:

Папка C:\scr\ вам известна?

Программу NiceHash Miner ставили самостоятельно?

 

Auslogics BoostSpeed деинсталлируйте.

Опубликовано

c:/scr да известна, мои скрипты. nicehash я устанавливал.

Опубликовано

Расшифровки этого типа вымогателя нет.

Для очистки следов и мусора дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    2019-04-11 19:08 - 2017-08-13 23:32 - 001424896 _____ (Misc314) C:\Users\energy\Desktop\veracrypt@foxmail.com.exe
    2019-04-11 18:52 - 2019-04-11 18:52 - 000013928 _____ C:\Users\energy\AppData\Roaming\Info.hta
    2019-04-11 18:52 - 2019-04-11 18:52 - 000000176 _____ C:\Users\energy\Desktop\FILES ENCRYPTED.txt
    2019-04-11 18:04 - 2019-04-11 18:11 - 000094720 _____ C:\Users\energy\AppData\Roaming\1task.exe
    AlternateDataStreams: C:\Windows:{7BC0BEE7-487C-4DEF-9189-9518F7E029F0} [26]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    Zip: C:\FRST\Quarantine
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Опубликовано

C:\Users\Администратор\Desktop\12.04.2019_14.05.53.zip отправили на почту?

 

Есть ли шансы на восстановление?

Уточню - мы не являемся сотрудниками ЛК.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

или в будущем?

Такое случается, но очень редко, к сожалению.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Опубликовано

часто используемых уязвимостей не обнаружено! Выполнен без ошибок! Не могу отправить архив. Т.к. возможно содержит вирус. пробовал с нескольких ящиков

Опубликовано

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

Опубликовано

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

Здравствуйте. Создайте свою тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...