Перейти к содержанию
no0tzz

[coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

Рекомендуемые сообщения

Вредоносный файл, если он у Вас еще сохранился, выложите на https://sendspace.com в архиве с паролем virus и пришлите ссылку на скачивание мне в ЛС

 

Добрый день, аналогичная проблема [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Да, файлы пострадали только на диске D

post-57983-0-38439900-1586109886_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Значит, только на этом диске находилась ценная информация. 

 

На данный момент ситуация печальная - версия шифратора самая новая, расшифровки нет, и трудно сказать, появится ли вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нашел ПК с которого началось шифрование. Подозреваю, что этот процесс шифрует. Проситься на запуск каждые 10 сек.

svchap.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, это шифратор. Но большому счету это ничего не меняет в плане расшифровки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\Альберт\appdata\local\temp\svchap.exe');
 QuarantineFile('c:\users\Альберт\appdata\local\temp\svchap.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\Альберт\appdata\local\temp\svchap.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x32');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x64');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','64');
 DeleteSchedulerTask('lsa64');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','64');
 DeleteSchedulerTask('csrss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end. 

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новые логи FRST на этой машине тоже сделайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.