Перейти к содержанию

Рекомендуемые сообщения

Добрый день, поймал шифровальщик veracrypt@foxmail.com.

Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.

Ссылка на сообщение
Поделиться на другие сайты

Два замечания:

1. При выполнении рекомендаций все остальные запущенные программы следует по возможности закрывать.

2. Не цитируйте полностью предыдущее сообщение, а используйте форму быстрого ответа внизу.

 

Вопросы:

Папка C:\scr\ вам известна?

Программу NiceHash Miner ставили самостоятельно?

 

Auslogics BoostSpeed деинсталлируйте.

Ссылка на сообщение
Поделиться на другие сайты

Расшифровки этого типа вымогателя нет.

Для очистки следов и мусора дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    2019-04-11 19:08 - 2017-08-13 23:32 - 001424896 _____ (Misc314) C:\Users\energy\Desktop\veracrypt@foxmail.com.exe
    2019-04-11 18:52 - 2019-04-11 18:52 - 000013928 _____ C:\Users\energy\AppData\Roaming\Info.hta
    2019-04-11 18:52 - 2019-04-11 18:52 - 000000176 _____ C:\Users\energy\Desktop\FILES ENCRYPTED.txt
    2019-04-11 18:04 - 2019-04-11 18:11 - 000094720 _____ C:\Users\energy\AppData\Roaming\1task.exe
    AlternateDataStreams: C:\Windows:{7BC0BEE7-487C-4DEF-9189-9518F7E029F0} [26]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    Zip: C:\FRST\Quarantine
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Администратор\Desktop\12.04.2019_14.05.53.zip отправили на почту?

 

Есть ли шансы на восстановление?

Уточню - мы не являемся сотрудниками ЛК.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

или в будущем?

Такое случается, но очень редко, к сожалению.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

часто используемых уязвимостей не обнаружено! Выполнен без ошибок! Не могу отправить архив. Т.к. возможно содержит вирус. пробовал с нескольких ящиков

Ссылка на сообщение
Поделиться на другие сайты

Попробуйте перепаковать с паролем malware и отправить.

Если не получится, ладно.

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

Здравствуйте. Создайте свою тему.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • От jlexa2008
      Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)
       
      файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com
      описание вымогателей зашифровал сам себя прочитать его невозможно
       
      во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)
      пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)

      проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)
      CollectionLog-2020.01.27-10.56.zip
    • От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • От neyda4nik
      Добрый день. Зашифрованы файлы. Добавлено ко всем расширение .omerta . Файлы зашифрованы частично (рабочий стол не тронут, некоторые файлы в папках). Подскажите возможно ли расшифровать?? Лог прикрепляю.  Также в прикреплении скрин из истории браузера, что-то подозрительное.

      CollectionLog-2019.02.08-09.43.zip
    • От ravna
      Добрый день.
      Утром обнаружили на сервере все зашифрованные файлы. Шифрование произошло ночью.
      Результат проверки утилитами Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! - 0 вирусов
      Приложил отчет, образец зашифрованного файла и сообщение в текстовом файле, которое находится на рабочем столе и в каждом каталоге дисков.
      Спасибо
       
       
      CollectionLog-2018.08.30-11.22.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      wincmd.ini.BD.zip
×
×
  • Создать...