Перейти к содержанию

[coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.


Рекомендуемые сообщения

Вредоносный файл, если он у Вас еще сохранился, выложите на https://sendspace.com в архиве с паролем virus и пришлите ссылку на скачивание мне в ЛС

 

Добрый день, аналогичная проблема [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 30
  • Created
  • Последний ответ

Top Posters In This Topic

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Да, файлы пострадали только на диске D

post-57983-0-38439900-1586109886_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Значит, только на этом диске находилась ценная информация. 

 

На данный момент ситуация печальная - версия шифратора самая новая, расшифровки нет, и трудно сказать, появится ли вообще.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\Альберт\appdata\local\temp\svchap.exe');
 QuarantineFile('c:\users\Альберт\appdata\local\temp\svchap.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\Альберт\appdata\local\temp\svchap.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x32');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x64');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','64');
 DeleteSchedulerTask('lsa64');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','64');
 DeleteSchedulerTask('csrss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end. 

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...