Степаний Тушков 0 Опубликовано 3 февраля, 2020 Share Опубликовано 3 февраля, 2020 (изменено) Здравствуйте, подхватили шифратор, скорее всего через RDP, резервные копии есть не все, все же хотелось надеяться на расшифровку. CollectionLog-2020.02.03-13.35.zip Изменено 3 февраля, 2020 пользователем Sandor Убрал архив с вредоносным файлом Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 3 февраля, 2020 Share Опубликовано 3 февраля, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); QuarantineFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', ''); QuarantineFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[FEE43F29-2422].[jabber paybtc@sj.ms].Caley', '64'); DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '32'); DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '64'); DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Прикрепите также в архиве только зашифрованный файл вместе с запиской с требованием выкупа (возможно это C:\info.txt). Ссылка на сообщение Поделиться на другие сайты
Степаний Тушков 0 Опубликовано 6 февраля, 2020 Автор Share Опубликовано 6 февраля, 2020 Написал письмо на newvirus@kaspersky.com, ответа до сих пор нет, это нормально? или оно могло затеряться, тем более что письмо без темы... Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 февраля, 2020 Share Опубликовано 6 февраля, 2020 Повторный лог и архив с файлами можете делать, не дожидаясь ответа. Ссылка на сообщение Поделиться на другие сайты
Степаний Тушков 0 Опубликовано 6 февраля, 2020 Автор Share Опубликовано 6 февраля, 2020 Лог после скрипта, файл требования и зараженный файл прикрепил. Кстате большие файлы шифрует не полностью, первые 4 мб только, дальше файлы целые, а в конце файла я так понял записывает зашифрованные данные из начала и еще что то...интересно возможно ли восстановить так БД, подменной первых 4мб...или еще как нибудь расковырять...жалко код вируса посмотреть не удалось..узнать бы его логику шифрования... CollectionLog-2020.02.04-13.28.zip info.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 февраля, 2020 Share Опубликовано 6 февраля, 2020 Тип вымогателя похож на Phobos и если это так, то расшифровки нет. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
pioner007 0 Опубликовано 6 марта, 2020 Share Опубликовано 6 марта, 2020 Словил данного зловреда. С активным касперычем 10ым. Причем папка была выкошена от файлов вся. Структура папок осталась. Слежу за данной темой и понимаю что решения нет? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 марта, 2020 Share Опубликовано 6 марта, 2020 @pioner007, здравствуйте! Не пишите в чужой теме, тем самым вы нарушаете правила раздела п. 2.2. Создайте свою тему и выполните Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти