Перейти к содержанию
Задай вопрос Елене Михеевой!

[btckeys@aol.com].2020

info@ut54.ru
 Share Подписчики 1

Рекомендуемые сообщения

info@ut54.ru

info@ut54.ru 0

Опубликовано
Опубликовано

Добрый день. 

у нас стоит терминальный сервер с 1с.

По всей вероятности заражение произошло по от рабочей машины к серверу через RDP

Файлы имеют следующее расширение: *.id-9C9B11F1.[btckeys@aol.com].2020


Также был установлен  Kaspersky Small Office Security for Desktops, Mobiles and File Servers (fixed-date) 


также на сервере был установлен: Kaspersky Small Office Security for Desktops, Mobiles and File Servers (fixed-date)

CollectionLog-2020.03.28-10.23.zip

KVRT_Data.7z

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 828

Опубликовано
Опубликовано

Здравствуйте,

По расширению похоже шифровальщик из семейства Dharma, к сожалению расшифровки нет.

Насколько вижу Антивирус Касперского его определяет как Trojan-Ransom.Win32.Crusis.to согласно независимому ресурсу Virustotal.

1) Уточните пожалуйста знакома ли Вам следующее: KProcessHacker2? Спашиваю из тех соображений, что замечен драйвер (C:\Windows\system32\x64.sys) от этого ПО.

2) Если вам необходима чистка, то выполните пожалуйста следующие инструкции:

- Закройте и сохраните все открытые приложения.

- AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 TerminateProcessByName('c:\users\Виталий\pictures\winhost.exe');
 TerminateProcessByName('c:\users\Виталий\pictures\local.exe');
 QuarantineFile('c:\users\Виталий\pictures\winhost.exe','');
 QuarantineFile('C:\Windows\System32\winhost.exe','');
 QuarantineFile('c:\users\Виталий\pictures\local.exe','');
 DeleteFile('c:\users\Виталий\pictures\local.exe','32');
 DeleteFile('c:\users\Виталий\pictures\winhost.exe','32');
 DeleteFile('C:\Windows\System32\winhost.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winhost.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

3) Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Plovinafaila
      Шифровальщик decrypt@techie.com ~.MNX
      От Plovinafaila
      Коллеги, если так можно выразиться, прошу помощи.
      Просит денег на decrypt@techie.com, decrypt123@sent.com
      Файлы все типа 1Cv8.1CD.id[присвоенный ID].[decrypt@techie.com].MNX
       
       
    • itadler
      Помогите с шифровальщиком
      От itadler
      FRST.txtLicData2.txt.id[FC9CD4F7-3426].[decrypt@techie.com].zipAddition.txt
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь   
    • Max380
      Шифровальщик id[FE4E498B-3398].[back2restore@neomailbox.ch]
      От Max380
      Просьба помочь, если возможно. Спасибо.Файлы.zipFRST.txtAddition.txt

    • xlopo
      Шифровальщик 1c 2022-08-24 01;47;25 (Полный).7z.id[EEF817BF-3349].[johnhelper777@gmx.de]
      От xlopo
      После его действий отсталость 1с базы с таким примерно названием :1c 2022-08-24 01;47;25 (Полный).7z.id[EEF817BF-3349].[johnhelper777@gmx.de].decrypt
      Просьба помочь, если возможно. Спасибо.
       
    • pelmen
      неизвестный шифровальщик .rfg nikminch@bk.ru
      От pelmen
      Принесли компьютер, зашифрованы файлы xlsx, базы 1с 1CD, текстовые, графические.
      При этом оставлен системный раздел, все другие разделы как будто стёрты, попытки восстановить данные ничего не дали.
      Образец вируса поймать не удалось, проверка CureIt ничего не показала.
      Прикладываю логи из программы FRST а так же образцы зашифрованных файлов и текст с требованием в архиве.
       
      анализ и образцы файлов.zip
×
×
  • Создать...