Шифровальщик WESKER

29 мая, 2019

Словил шифровальщик WESKER на двух компах,были в сети.На одном вообще парализовало работу-не работает практически ни одна программа,файлы зашифрованы,на втором-зашифровало половину файлов.

Прикладываю логи с первого компа.

CollectionLog-2019.05.29-14.11.zip

29 мая, 2019

Здравствуйте!

Пару небольших зашифрованных файлов вместе с одним из файлов с именем

!!!INSTRUCTION_RNSMW!!!.txt

упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

29 мая, 2019

Сделано

!!!INSTRUCTION_RNSMW!!!.rar

Addition.txt

FRST.txt

29 мая, 2019

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Смените пароль на RDP, взлом произошел позавчера в 03:41.

29 мая, 2019

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Смените пароль на RDP, взлом произошел позавчера в 03:41.

Fixlog.txt

29 мая, 2019

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

29 мая, 2019

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

Лицензия Касперского есть.Запрос на расшифровку отправил

SecurityCheck.txt

29 мая, 2019

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

Голосовой помощник Алиса v.4.2.5.1781 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Шифровальщик WESKER

Рекомендуемые сообщения

IZERLI87

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

IZERLI87

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

IZERLI87

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

IZERLI87

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum