Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

На нашем сервере зашифрованы файлы при помощи: HEUR:Trojan-Ransom.Win32.Agent.gen

Созданы файлы: [PedantBack@protonmail.com].pQPCtSzc-U0lAaLH8.PEDANT

Информацию прикрепил с Farbar Recovery Scan Tool

inform.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Начните со стандартных логов по правилам: Порядок оформления запроса о помощи

 

Записку с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Антивирус Kaspersky Endpoint Security 10

Данные о сканировании и файлы об информации и зашифрованные в архиве.

files.zip

scan_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

scan_log.txt

Нужен архив с именем CollectionLog, собранный с помощью Автологера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Reimage Repair

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Перезагрузите компьютер вручную.

 

Тип вымогателя Matrix. Расшифровки нет, к сожалению.

 

Смените важные пароли, в т.ч. на RDP и программы удалённого доступа.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От W32neshuta
      словил шифровальщик bitcoin@email.tg
      29.02.2020 файлы были зашифрованы.
      на комп заходили по RDP и Anydesk.
       
      pack.zip
      CollectionLog-2020.03.02-11.14.zip
    • От ВячеславККК
      похожая ерунда случилась. файлы зашифрованы с расширением id-222CC5A1.[cryptocash@aol.com].CASH
      есть какая то вероятность расшифровки? и какая нибудь утилита для проверки на предмет самого шифровальшика? где его искать если он ещё где то есть в системе


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63822
    • От Horoshii
      Здравствуйте!

       

      Прошу помочь в борьбе с вирусом и расшифровать файлы.

      После заражения компьютера типы файлов стали CRYPTED00007.

      в файле README.txt указана почта злоумышленников.

      Прикрепляю файлы и так же лог работы xoristdecryptor.

      вирус.rar
    • От Dysyndyst
      Здравствуйте, проблема такая же как и у  всех,
    • От Хитаров_Тимур
      Здравствуйте! Подобная тема уже есть, но там нет ответа https://forum.kasperskyclub.ru/index.php?showtopic=54027. Суть проблемы такая же. Тех поддержка Dr Web написала что это вирус Trojan.Encoder.858. Зашифровал все файлы Word-овские документы. Корпоративная сеть с файловым севером и 33 станциями имеющим к нему допуск. Где славила как обычно не признается.
      1. В текст. файле Readme1 (Таких по системе накидал полно) сообщение вымогателя.
      2. Log 09.26 Выполнял на файловом сервере.
      3. Log 10.28 Выполнен на зараженной станции.
      3. Так же высылаю Скрин найденных вирусов Куреитом выполненный на зараженном ПК .
      4. В ПАПКЕ ВИРУСЫ НАЙДЕННЫЕ НА ПК ВИРУСЫ!
      5. Текстовый файл отчет Куреита с Сервера.
          Я так понимаю, что этот шифровальщик удалился уже. (Или нет?)
          В общем мне нужен ваш совет и ваша помощь.
      1. Включать ли мне сеть обратно? (Доступ к серваку)
      2. Остался ли какой нибудь вирус в сети? Как он вообще распостраняется.
      3. Ну и любому совету буду рад.
       
      К первому письму. Отчет Куреита и скрин проверки Куреита
      CollectionLog-2017.01.18-10.28.zip
      CollectionLog-2017.01.18-09.26.zip
      README1.txt
      Картинка и Куреит.zip
×
×
  • Создать...