MoHcTpUk Опубликовано 19 сентября, 2019 Опубликовано 19 сентября, 2019 (изменено) Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов. В прикрепленном архиве содержится: readme.txt - записка о том, как расшифровать 1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл 1SACCS.CDX - файл, который вымогатели расшифровали Есть ли способ расшифровать все файлы без выкупа? YYTO.rar Изменено 19 сентября, 2019 пользователем MoHcTpUk
Sandor Опубликовано 19 сентября, 2019 Опубликовано 19 сентября, 2019 Здравствуйте! Порядок оформления запроса о помощи
MoHcTpUk Опубликовано 20 сентября, 2019 Автор Опубликовано 20 сентября, 2019 Здравствуйте! Порядок оформления запроса о помощи CollectionLog-2019.09.16-13.43.zip
Sandor Опубликовано 20 сентября, 2019 Опубликовано 20 сентября, 2019 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); ClearQuarantineEx(true); TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe'); QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', ''); QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', ''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32'); DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true); DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost'); BC_ImportALL; ExecuteSysClean; BC_Activate; end. Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти