w3bmak3r 0 Опубликовано 1 августа, 2019 Share Опубликовано 1 августа, 2019 Здравствуйте, на сервер терминалов залез шифровальщик. Базы 1с и много системных файлов после шифрования получили название .id-6ADBCC23.[panama777@tutanota].Acuf2 В каждом каталоге лежит файл FILES ENCRYPTED.txt со след. содержанием: all your data has been locked us You want to return? Write email panama777@tutanota or panama777@cock.li Войти в систему могу только в безопасном режиме. KVRT и Dr.Web CureIT, к сожалению, ничего не обнаружили. лог собрал, буду признателен за помощь. Так же могу выложить 2 файла до и после поражения. CollectionLog-2019.08.01-16.50.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 1 августа, 2019 Share Опубликовано 1 августа, 2019 Здравствуйте. Увы, с расшифровкой не сможем помочь. Будет только зачистка мусора. Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe',''); QuarantineFile('C:\Windows\System32\rdh.exe',''); DeleteFile('C:\Windows\System32\rdh.exe','64'); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rdh.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. 1 Ссылка на сообщение Поделиться на другие сайты
w3bmak3r 0 Опубликовано 2 августа, 2019 Автор Share Опубликовано 2 августа, 2019 @thyrex, спасибо, на выходных скину новые логи и отправлю файлы в карантин. Не подскажите как называется этот чудо шифровальщик? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 2 августа, 2019 Share Опубликовано 2 августа, 2019 Dharma (CrySis) Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти