Перейти к содержанию
DrDop

[РЕШЕНО] Помогите, пожалуйста, с дешифровкой

Рекомендуемые сообщения

Залетел шифровальщик. DrWeb.CureIT опознал его как "trojan.encoder.3953".

Дело было на сервере. Стоиn Kaspersky Endpoint Security для бизнеса - почему не защитил не знаю.

Расширение у зашифрованных файлов "id-2C0F9F11.[mecrypt@aol.com].html"

Проделал действия как в https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Лог прилагаю.

Прошу помощи.

CollectionLog-2019.07.19-10.27.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

Если ориентироваться на расширение, то у вас какой-то новый тип шифровальщика.

На данный момент сказать сложно, если возможно будет расшифровать.

 

- Уточните пожалуйста ваш основной антивирус был приостановлен или выключен?

- Вам удалось понять как это произошло, взломали сервер или пользователь запустил сам вредоносное ПО?

 

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

При наличие лицензии на продукты Лаборатории Касперского, выполните следующие инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По разным причинам KES  мог не опознать шифровальщика.

Ради статистики - KSN у вас включен? 

ну и на будущее - рассмотрите вариант настройки защиты согласно статье - https://support.kaspersky.ru/14742

Изменено пользователем mvs

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

Ради статистики - KSN у вас включен? 

Kaspersky оказался выключен. Запустить сейчас его нет возможности, т.к. тоже зашифрован, так что не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Несколько небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Увы, это Dharma (.cezar Family), расшифровки нет.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  • Спасибо 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.