Вирус-шифровальщик @readme.txt.fftn

19 сентября, 2019

Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt

Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов.

В прикрепленном архиве содержится:

readme.txt - записка о том, как расшифровать

1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл

1SACCS.CDX - файл, который вымогатели расшифровали

Есть ли способ расшифровать все файлы без выкупа?

YYTO.rar

Изменено 19 сентября, 2019 пользователем MoHcTpUk

19 сентября, 2019

Здравствуйте!

Порядок оформления запроса о помощи

20 сентября, 2019

Здравствуйте!

Порядок оформления запроса о помощи

CollectionLog-2019.09.16-13.43.zip

20 сентября, 2019

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe');
 QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32');
 DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true);
 DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Вирус-шифровальщик @readme.txt.fftn

Рекомендуемые сообщения

MoHcTpUk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

MoHcTpUk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum