Андрей Попов 0 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 (изменено) Добрый день, поймали шифровальщика, файлы поменяли расширение на .[andrey.taranov@protonmail.com].Iexei8bo при этом рядом остались пустые файлы - 0 кб Зашифровалась только сетевая папка (которая была в общем доступе), на соседнем ПК всё чистоприложили лог и шифрованные файлыcureIt прогнали быструю проверку - всё чисто, лог cureIt на всякий случай тоже приложили На ПК был установлен Kaspersky Internet Security - он куда то пропал и не запускается больше. CollectionLog-2020.01.20-13.10.zip зашифрованные.zip cureit.zip Изменено 20 января, 2020 пользователем Андрей Попов Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 Здравствуйте! "Зашифрованные" файлы забиты нулями. Если и есть оригинал, то он у злоумышленника. На ПК был установлен Kaspersky Internet Security - он куда то пропал и не запускается большеВидны следы 19 и 20 версий. Удалите обе, пройдитесь утилитой, скачайте и установите актуальную версию. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ammyadmin C:\Users\Olga\desktop\aa_v3.exeставили самостоятельно? Ссылка на сообщение Поделиться на другие сайты
Андрей Попов 0 Опубликовано 20 января, 2020 Автор Share Опубликовано 20 января, 2020 aa_v3.exe - да, там какая то старая версия там в этой папке (которая зашифровалась) среди нескольких нужных, в том числе были старые ненужные архивные файлы под 30 Гб, злоумышленник их выкачал? О_о прикрепил отчёты Addition.zip FRST.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 В моей фразе ключевое слово "если". Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-314633488-202542076-394807114-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File FF user.js: detected! => C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\elvwz9ew.default\user.js [2015-11-11] C:\Users\Olga\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx AlternateDataStreams: C:\Users\Olga:id [32] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Андрей Попов 0 Опубликовано 20 января, 2020 Автор Share Опубликовано 20 января, 2020 (изменено) выполнил кодрезультат прикрепил Fixlog.zip Изменено 20 января, 2020 пользователем Андрей Попов Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 На этом завершаем: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Андрей Попов 0 Опубликовано 20 января, 2020 Автор Share Опубликовано 20 января, 2020 выполнено SecurityCheck.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17498 Внимание! Скачать обновления Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB4012213 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice -------------------------------- [ Arch ] --------------------------------- WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления --------------------------------- [ SPY ] --------------------------------- AnyDesk v.ad 5.4.0 Внимание! Программа удаленного доступа! -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 52.3.0 ESR (x64 ru) v.52.3.0 Внимание! Скачать обновления Google Chrome v.79.0.3945.117 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Андрей Попов 0 Опубликовано 20 января, 2020 Автор Share Опубликовано 20 января, 2020 спасибоА по файлам, вы считаете, что расшифровке не подлежат, даже если связаться со злоумышленником?то что было выкачано 30Gb - не верю... скрытых разделов/папок/файлов не обнаружено. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 даже если связаться со злоумышленником?Весьма сомнительно. Попробуйте, но будьте осторожны и аккуратны. Ссылка на сообщение Поделиться на другие сайты
Андрей Попов 0 Опубликовано 6 февраля, 2020 Автор Share Опубликовано 6 февраля, 2020 в общем всё верно, эта группа злодеев, после того как получила перевод, просто перестали выходить на связьтак что, те кто ещё пострадают - не верьте им, ничего у них нет и ни чего вы не получите платить им бесполезно 2 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти