crysis Coronavirus - Шифровальщик

15 февраля, 2020

Добрый вечер!

Вчера вечером зашифровались файлы на рабочем компьютере, причем в течении дня все работало отлично, никакие "левые" файлы и программы не запускались, скорее всего где-то сидел все это время, ждал своего времени?!

Пару раз уходил сам на ввод пароля при входе, я не придал значения, думал может что винда дурит... потом оставил компьютер на некоторое время, вернулся а там "коронавирус".

Чуть позже могу приложить фотографии.

Пароль на архив с вирусом (virus_corona.zip) - 123

CollectionLog-2020.02.15-17.58.zip

FILES ENCRYPTED.txt

virus_corona.zip

15 февраля, 2020

Здравствуйте!

Один из файлов Info.hta упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

15 февраля, 2020

Сделал

Info.hta.zip

Addition.txt

FRST.txt

16 февраля, 2020

Вынужден огорчить, это очередная версия Crusis, расшифровки нет.

Будет только очистка следов и мусора. Пароль на RDP смените, скорее всего был сломан.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13919 2020-02-14] () [File not signed]
HKLM\...\Run: [C:\Users\Алексей\AppData\Roaming\Info.hta] => C:\Users\Алексей\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
HKU\S-1-5-21-2916867580-2572117831-2763354424-1001\...\MountPoints2: {d949e88b-ec23-11e9-8255-b42e996ff2c4} - "D:\SISetup.exe" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\WINDOWS\system32\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\Users\Алексей\AppData\Roaming\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Алексей\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\FILES ENCRYPTED.txt
AlternateDataStreams: C:\Users\Алексей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

16 февраля, 2020

Спасибо за помощь!

Хорошо что на компьютере ничего не хранится кроме некоторых папок, которые забекаплены, правда неделю назад (как чувстовал ), поэтому кое что пропадет, но все лучше чем ничего...

Сейчас значит буду переустанавливать ОС..

Fixlog.txt

16 февраля, 2020

буду переустанавливать ОС

Это не обязательно, следов вредоноса больше нет.

Возьмите на заметку: Рекомендации после удаления вредоносного ПО

crysis Coronavirus - Шифровальщик

Рекомендуемые сообщения

lom1k

Sandor

lom1k

Sandor

lom1k

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum