khlkolan 0 Опубликовано 18 мая, 2020 Share Опубликовано 18 мая, 2020 Добрый день! на сервере стоит виртуальная машина, на нее какимто образом попал шифровальшик. зашифровал файлы и полез дальше, вовремя отрубил сеть от виртульной машины... стоит KES но на виртуальной машине его не было. хотелось бы узнать как он туда попал? CollectionLog-2020.05.18-08.03.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 мая, 2020 Share Опубликовано 18 мая, 2020 Здравствуйте! 1 час назад, khlkolan сказал: виртуальная машина Вымогатель активен. Лечение виртуальной машины нужно? 2-3 зашифрованных документа с запиской о выкупе упакуйте в архив и прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
khlkolan 0 Опубликовано 18 мая, 2020 Автор Share Опубликовано 18 мая, 2020 Лечение нужно. антивируса нету вымогатель активен Desktop.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 18 мая, 2020 Share Опубликовано 18 мая, 2020 (изменено) Тип вымогателя Phobos. К сожалению, расшифровка невозможна. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\update\appdata\local\antirecuvaanddb.exe'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); QuarantineFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', ''); DeleteFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Изменено 18 мая, 2020 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
khlkolan 0 Опубликовано 19 мая, 2020 Автор Share Опубликовано 19 мая, 2020 (изменено) Благодарим за обращение в Антивирусную Лабораторию. Ваш запрос зарегистрирован под номером 817515 и будет обработан вирусным аналитиком в ближайшее времяCollectionLog-2020.05.19-07.00.zip Здравствуйте, Данное срабатывание не является ложным. Вердикт является корректным. HEUR:Trojan.Win32.Generic. [KL-817515] Изменено 19 мая, 2020 пользователем khlkolan Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 19 мая, 2020 Share Опубликовано 19 мая, 2020 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
khlkolan 0 Опубликовано 27 мая, 2020 Автор Share Опубликовано 27 мая, 2020 извиняюсь за такое отсутствие, не было возможности запустить машину. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 27 мая, 2020 Share Опубликовано 27 мая, 2020 Да, с системой что-то не так. Похоже запущена с временным профилем. Если нужна помощь в восстановлении системы, обратитесь в соседний раздел. Цитата Ссылка на сообщение Поделиться на другие сайты
khlkolan 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 да фиг с системой, интересует как он туда попал. Это выяснить можно? Т.к это виртуальная машина, на нее не заходили больше года... Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 мая, 2020 Share Опубликовано 28 мая, 2020 Способов много, от взлома RDP до физического входа злоумышленника, имеющего доступ. Цитата Ссылка на сообщение Поделиться на другие сайты
khlkolan 0 Опубликовано 28 мая, 2020 Автор Share Опубликовано 28 мая, 2020 спасибо и на этом. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.