Перейти к содержанию

[veracrypt@foxmail.com].adobe все зашифровал

Даниил Янченко

Автор Даниил Янченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Даниил Янченко

Даниил Янченко

Опубликовано
Опубликовано (изменено)

Добрый день: зашифровал все файлы сегодня.

лог прилагаю

Из-за чего произошло не знаю: компьютер серверный была она слабозащищенная учетка - ее удалил.


До этого на компе вылезла такая надпись пользователь Asus/продавец отклонил ваш запрос на отключение

CollectionLog-2019.06.11-20.39.zip

post-54491-0-40081900-1560292973_thumb.png

post-54491-0-10621800-1560293379_thumb.png

Изменено пользователем Даниил Янченко
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

С расшифровкой не поможем (это что касается силами добровольцев форума).

Сами ставили RDP Wrapper?

Вам знакома следующее?

O4 - User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Даниил Янченко

Даниил Янченко

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день. 

User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat - знакома - это наш скрипт

 

 RDP Wrapper - не сам ставил, 1с ставил, когда серверную 1с делал

FRST.txt

Addition.txt

Изменено пользователем Даниил Янченко
SQ

SQ

Опубликовано
Опубликовано

Удалите следующее ПО, если оно вам незнакомо или не используете его через панель управления.

 

NativeDesktopMediaService (HKLM-x32\...\{4CF9B388-78FA-46C3-B409-196FE2CF5F20}) (Version: 3.6.0 - Jetmedia) <==== ATTENTION
One System Care (HKLM-x32\...\OneSystemCare_is1) (Version: 4.4.0.3 - One System Care) <==== ATTENTION
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION

Похоже шифровальщик находиться по следующему пути, согласно отчету "Защитник Windows"
 

\\tsclient\R\1MedicalPc.exe
Даниил Янченко

Даниил Янченко

Опубликовано
  • Автор
Опубликовано

Я так понимаю, что зашли под удаленным доступом

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex555
      Вирус шифровальщик wallet
      Автор Alex555
      Вирус зашифровал все файлы и переименовал их. Все файлы имеют расширение wallet. Скажите пожалуйста есть ли варианты решения данной проблемы? Пример файла во вложении.
    • jay228
      помогите расшифровать файлы с расширением *.onion
      Автор jay228
      Здраствуйте. не хотел создавать новую тему т.к. похожая ситуация . заметил что в время работы за пк перестал запускатся тотал командер . когда вошел через папку в корне диска С увидел файлы с расширением *.onion . поскольку не чего не запускалось то я сделал перегрузку и зашел в безопасный режим . там выяснилось что с расширением onion только файлы в корне диска С и часть файлов в папках первых по алфавиту. остальное все на месте. Сейчас загрузился с загрузочной флешки и пишу вам. у меня вопрос. возможно я успел до того как вирус пошифровал мне все. возможно как то удалить его и предотвратить его дальнейшую работу не находясь с системного диска а с live-cd или расшифровать зашифрованые файлы для дальнейшего сноса системы ?
       
      п.с. логи не приложил т.к. не загружал систему во избежание дальнейшей потери файлов. могу их предоставить если их можно сделать с загрузочного носителя
    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
×
×
  • Создать...