nik7761 0 Опубликовано 1 августа, 2019 Share Опубликовано 1 августа, 2019 Добрый день, уважаемые коллеги! Шифровальщик на сервере зашифровал файлы (*.docx, *.jpg и многие другие). После шифрования расширение файлов поменялось на *.HARMA. Прикрепляю все необходимые данные, в том числе файл-оригинал до зашифровки и аналогичный зашифрованный файл. Может сможете чем-то помочь... CollectionLog-2019.08.01-12.35.zip Коммерческое предложение.doc.id-8C684470.bitcoin1@foxmail.com.zip Коммерческое предложение.doc Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 1 августа, 2019 Share Опубликовано 1 августа, 2019 Здравствуйте! Расшифровки этой версии вымогателя нет. Может сможете чем-то помочьК сожалению, не поможет. Будет только лечение активного заражения и очистка следов. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\administrator.hotel\appdata\roaming\1bitc.exe'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('c:\users\administrator.hotel\appdata\roaming\1bitc.exe', ''); QuarantineFile('C:\Users\administrator.HOTEL\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\administrator.HOTEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', ''); QuarantineFile('C:\Users\administrator.HOTEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\hrs\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Windows\System32\1bitc.exe', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('c:\users\administrator.hotel\appdata\roaming\1bitc.exe', ''); DeleteFile('C:\Users\administrator.HOTEL\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\administrator.HOTEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '64'); DeleteFile('C:\Users\administrator.HOTEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\hrs\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Windows\System32\1bitc.exe', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1bitc.exe', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\administrator.HOTEL\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\hrs\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти