spika8080@gmil.com 0 Опубликовано 1 октября, 2019 Share Опубликовано 1 октября, 2019 Добрый день. Зашифровали все данные и приложения (даже службы из Администрирования) В результате все файлы стали иметь вид имя файла.оригинальное расширение..id-4A6FFD2D.[unlocktools@aol.com].UTC. Сообщение о выкупе прикрепил в текстовом файле(сообщение.txt), хотя на экране оно отображалось в html формате.Таже прикреплю текстовый файл с просьбой связаться по электронной почте с вымогателями расположенный на рабочих столах пользователей и в корнях дисков (FILES ENCRYPTED.txt) Диалог с вымогателями велся через почту указанную в расширении файлов. Они даже прислали дешифратор(decrypt.exe) (также во вложениях и попросили отправить им код который выдавался по результату сканирования (request.txt). В ответ как я понимаю они должны были отправить код дешифровки чего не последовало. Также прикрепляю результат Autologger. и 2 зашифрованных файла. сообщение.txt CollectionLog-2019.10.01-11.09.zip request.txt FILES ENCRYPTED.txt 2 зашифрованных файла.7z decrypt.7z Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 октября, 2019 Share Опубликовано 1 октября, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\RDP seslon.exe',''); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RDP seslon.exe','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
spika8080@gmil.com 0 Опубликовано 1 октября, 2019 Автор Share Опубликовано 1 октября, 2019 Info.hta и RDP seslon.exe я действительно находил в сессии от встроенной учетной записи Администратора (которого к слову забыл отключить) Через этого пользователя и был осуществлен взлом. результат от https://virusinfo.info/ Результат загрузки Файл сохранён как 191001_151449_quarantine_5d936d696e37f.zip Размер файла 429 MD5 f07e1d025755a1aa21761b62c6d318f0 Файл закачан, спасибо!Новые логи Autologger`a во вложении CollectionLog-2019.10.01-18.23.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 1 октября, 2019 Share Опубликовано 1 октября, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
spika8080@gmil.com 0 Опубликовано 2 октября, 2019 Автор Share Опубликовано 2 октября, 2019 (изменено) Сделал Desktop.7z Изменено 2 октября, 2019 пользователем spika8080@gmil.com Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 2 октября, 2019 Share Опубликовано 2 октября, 2019 Увы, с расшифровкой помочь не сможем. Будет только чистка мусора. 1. Выделите следующий код: Start:: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2019-09-29 03:28 - 2019-09-29 03:28 - 000000222 _____ C:\FILES ENCRYPTED.txt End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти