Перейти к содержанию

[veracrypt@foxmail.com].adobe все зашифровал

Даниил Янченко

Автор Даниил Янченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Даниил Янченко

Даниил Янченко

Опубликовано
Опубликовано (изменено)

Добрый день: зашифровал все файлы сегодня.

лог прилагаю

Из-за чего произошло не знаю: компьютер серверный была она слабозащищенная учетка - ее удалил.


До этого на компе вылезла такая надпись пользователь Asus/продавец отклонил ваш запрос на отключение

CollectionLog-2019.06.11-20.39.zip

post-54491-0-40081900-1560292973_thumb.png

post-54491-0-10621800-1560293379_thumb.png

Изменено пользователем Даниил Янченко
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

С расшифровкой не поможем (это что касается силами добровольцев форума).

Сами ставили RDP Wrapper?

Вам знакома следующее?

O4 - User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Даниил Янченко

Даниил Янченко

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день. 

User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat - знакома - это наш скрипт

 

 RDP Wrapper - не сам ставил, 1с ставил, когда серверную 1с делал

FRST.txt

Addition.txt

Изменено пользователем Даниил Янченко
SQ

SQ

Опубликовано
Опубликовано

Удалите следующее ПО, если оно вам незнакомо или не используете его через панель управления.

 

NativeDesktopMediaService (HKLM-x32\...\{4CF9B388-78FA-46C3-B409-196FE2CF5F20}) (Version: 3.6.0 - Jetmedia) <==== ATTENTION
One System Care (HKLM-x32\...\OneSystemCare_is1) (Version: 4.4.0.3 - One System Care) <==== ATTENTION
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION

Похоже шифровальщик находиться по следующему пути, согласно отчету "Защитник Windows"
 

\\tsclient\R\1MedicalPc.exe
Даниил Янченко

Даниил Янченко

Опубликовано
  • Автор
Опубликовано

Я так понимаю, что зашли под удаленным доступом

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...