Перейти к содержанию
Правила раздела

Поймал вирус wanna scream

alisher0404

От alisher0404
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

alisher0404 Новичок

alisher0404

Опубликовано
Опубликовано

Уважаемые ЗнатокиВ офисе стоит сервер. на утро обнаружили что все файлы были зашифрованы. на тот момент не было антивирусов.\Прикрепляю zip-архив с собранными логами а так же текст файл "read me" где указаны условия выкупа.Безгранично благодарен Вашей помощи и поддержкеПриношу свои извинения если я как то нарушаю порядок действий подачи заявки

Так же прикрепляю Файлы FRST.txt и Addition.txt заархивированные в один общий архивСпасибо

CollectionLog-2020.03.14-15.11.zip

ReadMe.txt

123.7z

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
C:\Users\User1\Desktop\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

C:\Users\User2\Documents\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

C:\Users\Server\Desktop\exploit.exe.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

 

прикрепите в архиве к следующему сообщению

Ссылка на комментарий
Поделиться на другие сайты
alisher0404 Новичок

alisher0404

Опубликовано
  • Автор
Опубликовано

 

C:\Users\User1\Desktop\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

C:\Users\User2\Documents\Книга1.xlsx.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

C:\Users\Server\Desktop\exploit.exe.[3CCE6963[recoverydata02@protonmail.com].DarkCrypt

 

прикрепите в архиве к следующему сообщению

 

Безгранично благодарен за отзывчивость

 

Прикрепил архив. 

 

Спасибо

Архив.7z

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Без самого шифратора сказать что-то определенное не представляется возможным. Если нужно, можем почистить мусор.

 

Попали на компьютер наверняка через RDP, подобрав пароль (предположительно от учетки Server).

Ссылка на комментарий
Поделиться на другие сайты
alisher0404 Новичок

alisher0404

Опубликовано
  • Автор
Опубликовано (изменено)

Извините за глупый вопрос, шифратор находится у меня на компьютере или на том компе от куда был доступ?

Очистка мусора поможет ли что нибудь восстановить?

Изменено пользователем alisher0404
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Очистка мусора поможет ли что нибудь восстановить?
нет.

 

 

 


шифратор находится у меня на компьютере
активного нет. Но возможно в логах сервера есть информация о постороннем входе в нерабочее время.
Ссылка на комментарий
Поделиться на другие сайты
alisher0404 Новичок

alisher0404

Опубликовано
  • Автор
Опубликовано

Что посоветуете делать? Ждать выхода лечения или уже файлы не спасти?

Ещё такой вопрос, там файлов не особо значимые, но есть база 1с, вот за него обидно, придется год заново все вбивать. Или базу можно как то восстановить? Вдруг есть какое-нибудь решение.

Благодарю

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Чтобы что-то советовать, нужно знать, что это за шифратор. А с этим пока проблема. По имени шифрованного файла он, конечно, похож на WannaScream (расшифровки нет), но это не факт.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

При наличии действующей лицензии на любой из продуктов компании создайте запрос на расшифровку. Только ТП может дать хоть какой-то ответ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      От Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • alexlex
      Поймали шифравальщик
      От alexlex
      Добрый день
      На сервере утром зашифровались все данные
       

      Addition.txt FRST.txt 1c Cash.bat.[ID-774BEC7E].[Telegram ID @Hitler_77777].zip
×
×
  • Создать...