Перейти к содержанию

Зашифровали сервер

w3r3wolf
 Share

Рекомендуемые сообщения

w3r3wolf Новичок

w3r3wolf

Опубликовано
Опубликовано

Добрый день!

На нашем сервере зашифрованы файлы при помощи: HEUR:Trojan-Ransom.Win32.Agent.gen

Созданы файлы: [PedantBack@protonmail.com].pQPCtSzc-U0lAaLH8.PEDANT

Информацию прикрепил с Farbar Recovery Scan Tool

inform.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Начните со стандартных логов по правилам: Порядок оформления запроса о помощи

 

Записку с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Reimage Repair

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Перезагрузите компьютер вручную.

 

Тип вымогателя Matrix. Расшифровки нет, к сожалению.

 

Смените важные пароли, в т.ч. на RDP и программы удалённого доступа.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • W32neshuta
      Помощь в расшифровке
      От W32neshuta
      словил шифровальщик bitcoin@email.tg
      29.02.2020 файлы были зашифрованы.
      на комп заходили по RDP и Anydesk.
       
      pack.zip
      CollectionLog-2020.03.02-11.14.zip
    • ВячеславККК
      шифровальщик id-222CC5A1.[cryptocash@aol.com].CASH
      От ВячеславККК
      похожая ерунда случилась. файлы зашифрованы с расширением id-222CC5A1.[cryptocash@aol.com].CASH
      есть какая то вероятность расшифровки? и какая нибудь утилита для проверки на предмет самого шифровальшика? где его искать если он ещё где то есть в системе


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63822
    • Horoshii
      Шифровальщик CRYPTED000007
      От Horoshii
      Здравствуйте!

       

      Прошу помочь в борьбе с вирусом и расшифровать файлы.

      После заражения компьютера типы файлов стали CRYPTED00007.

      в файле README.txt указана почта злоумышленников.

      Прикрепляю файлы и так же лог работы xoristdecryptor.

      вирус.rar
    • Dysyndyst
      WNCRY.exe
      От Dysyndyst
      Здравствуйте, проблема такая же как и у  всех,
    • Хитаров_Тимур
      Шифровальщик Trojan.Encoder.858 (Dr Web Cureit)
      От Хитаров_Тимур
      Здравствуйте! Подобная тема уже есть, но там нет ответа https://forum.kasperskyclub.ru/index.php?showtopic=54027. Суть проблемы такая же. Тех поддержка Dr Web написала что это вирус Trojan.Encoder.858. Зашифровал все файлы Word-овские документы. Корпоративная сеть с файловым севером и 33 станциями имеющим к нему допуск. Где славила как обычно не признается.
      1. В текст. файле Readme1 (Таких по системе накидал полно) сообщение вымогателя.
      2. Log 09.26 Выполнял на файловом сервере.
      3. Log 10.28 Выполнен на зараженной станции.
      3. Так же высылаю Скрин найденных вирусов Куреитом выполненный на зараженном ПК .
      4. В ПАПКЕ ВИРУСЫ НАЙДЕННЫЕ НА ПК ВИРУСЫ!
      5. Текстовый файл отчет Куреита с Сервера.
          Я так понимаю, что этот шифровальщик удалился уже. (Или нет?)
          В общем мне нужен ваш совет и ваша помощь.
      1. Включать ли мне сеть обратно? (Доступ к серваку)
      2. Остался ли какой нибудь вирус в сети? Как он вообще распостраняется.
      3. Ну и любому совету буду рад.
       
      К первому письму. Отчет Куреита и скрин проверки Куреита
      CollectionLog-2017.01.18-10.28.zip
      CollectionLog-2017.01.18-09.26.zip
      README1.txt
      Картинка и Куреит.zip
×
×
  • Создать...