Перейти к содержанию

Вирус-шифровальщик @readme.txt.fftn


Рекомендуемые сообщения

Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt

Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов.

 

В прикрепленном архиве содержится:

   readme.txt - записка о том, как расшифровать

   1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл

   1SACCS.CDX - файл, который вымогатели расшифровали

 

Есть ли способ расшифровать все файлы без выкупа?

YYTO.rar

Изменено пользователем MoHcTpUk
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe');
 QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32');
 DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true);
 DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите компьютер вручную.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...