Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте,

Сервер, домены, пользовательские машины.

Зашифрованы файлы на сервере и у пользователя, оба постоянно включены.

Вирус отработал около 40 минут примерно в час ночи.

После перезагрузки пользователя его машина не заработала, клаиватура мигает и все.

Сервер сейчас проверяем. Поставили диск пользователя на другой компьютер, на дисках пользователя drweb.ru cureit вирусов не нашел.

Лог дисков пользователя в приложении.

Что-то можно сделать?

Опубликовано

Деинсталлируйте потенциально нежелательное ПО:

SpyHunter 5
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Опубликовано

Почитайте об этом https://safezone.cc/threads/pochemu-ne-sleduet-ispolzovat-programmu-spyhunter.28842/ SpyHunter. По сути это пустышка. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CMD: wmic product where name="SpyHunter 5" call uninstall /nointeractive
Task: {BCAEC3A9-156D-4896-B2F5-8932FAA4E7DC} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи frst.txt, addition.txt
Опубликовано

Spy hunter деинсталлируйте.

 

Какое расширение добавилось к зашифрованным файлам?

Опубликовано

спай хантер удалим, да
зашифрованные никак не поменялись

post-54358-0-42996700-1559727548_thumb.jpg

Опубликовано (изменено)

Пришлите несколько небольших файлов в архиве. Если есть ещё записку с требованиями злоумышленников

Изменено пользователем mike 1
Опубликовано (изменено)

mike, послал письмо авторам, запросили деньги и файл для примера, отослал файл, прислали ответ в архиве rar, архиватор WinRar пишет - неверный архив. Есть куда сбросить вам для проверки что там? может пригодится..

зы заразиться, просто открывая архив для просмотра что там ведь нельзя? 

Изменено пользователем Александр23
Опубликовано

 

 

Есть куда сбросить вам для проверки что там?

Пришлите мне на почту, посмотрю. Почта есть в профиле.

 

 

 

зы заразиться, просто открывая архив для просмотра что там ведь нельзя? 

Можно, если у вас версия WinRar ниже версии 5.70. 

Опубликовано

Отправил, в теме написано "Пришлите мне на почту, посмотрю. Почта есть в профиле."


гхм.. яндекс не отправил, написал похоже на спам.. сейчас еще раз попробую


Не проходит, пишет что спам. Есть другой адрес?

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ilk006
      Автор ilk006
      Добрый день!
      Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.
       
      README.txt следующего содержания:
       
      Содержание README.txt:
        Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?   Способ заражения пока неизвестен, предположительно с рабочей флешки жены.   Стоит ли надеяться и искать способы расшифровки или безнадежно?    
    • rrustam
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
    • suba-ru
      Автор suba-ru
      Добрый день. Знакомые позвонили- зашифрованы бызы 1с и содержимое архивов на Win2008R2.
      Пока доступа к компу нету- надо ехать/ Сориентируйте есть смысл пытаться расшифровать или нет?
      В папках файлик такой. Файлы без расширений цифробуквеный набр.. Файлы Exel  со слов  не зашифрованы
        Заранее спасибо за ответ

      Что-то файл не прицепился
      Your files are encrypted! YOUR PERSONAL ID rdOGG72awGSkwHZLkfAmSaoZXrluIddzjdyCws7f --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key ---------------------------------------------------------------------------------
    • Den4eG01
      Автор Den4eG01
      Добрый день! Пришли с утра на работу,подключились к серверу RDP и там все файлы зашифрованы и имеют имена состоящие из букв и цифр не умеющие расширения! запросили 1000 USD в биткоинах! 
      cureit.log
      CollectionLog-2018.12.11-15.24.zip
    • receiver
      Автор receiver
      Проблема один в один.

      https://forum.kasperskyclub.ru/index.php?showtopic=60803&page=0


      Сообщение от модератора SQ Пожалуйста не пишите в чужих темах. Каждый случай уникален.
×
×
  • Создать...