Перейти к содержанию

Рекомендуемые сообщения

у нас в филиале поймали вирус шифровальщик reddragon000@protonmail.ch. на нашем файл-сервере зашифрована всего одна папка вроде бы . я её удалил так как она есть в бэкапе. Как проверить сервер что бы разрешить продолжить работать в безопасности. связь с филиалом разорвана и пока не требуется

CollectionLog-2020.06.10-12.30.zip

Изменено пользователем booksermc@gmail.com
добавлен лог
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pandion.lnk [2015-10-17]
    ShortcutTarget: pandion.lnk -> C:\Users\admin.LAN\AppData\Roaming\Pandion\Application\pandion.exe (No File)
    
    S2 Windows Ssyncer; C:\ProgramData\Microsoft\Windows NT\MSSyn\ssyncer.exe [X] <==== ATTENTION
    
    2013-07-31 07:52 - 2011-05-29 00:03 - 000276992 _____ () C:\Users\admin.LAN\AppData\Roaming\UnRAR.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
29.06.2020 в 08:29, booksermc@gmail.com сказал:

у нас есть decoder. куда и кому мне его передать для анализа

А в нем нечего анализировать. Без ключей, которые нужны для конкретного пострадавшего, он бесполезен.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От MityayII
      Добрый день! Скорей всего через RDP. Подобрали за 10 дней. 7 поднял rdp, 17 вечером сработал шифровальщик. Знаю, сам дурак. Попадали в17 году, тогда проехалось по всем серверам. Сейчас один комп. Нужно было посадить пожилого инженера на удаленку, задал простой пароль, хотел облегчить работу человеку,на свою голову.
      [flydragon@mailfence.com][sel4ru].zip
    • От Kezar
      Добрый день!
      Сегодня поймал CryLock неизвестной версии, что с ним делать непонятно, найти файл шифровальщик на первый взгляд не удалось. В архивах результаты запуска FastBar с файлом "запиской" и отдельно зашифрованный сэмпл. Прошу помощи в анализе, и совета что делать дальше.
      Addition_16-11-2020 09.52.56.zip WinDirStat.lnk.zip
    • От thebat
      Скорее всего через RDP словили шифровальщик. Системные файлы не зашифрованы. EXE тоже не тронуто.
       
      Desktop.rar FRST.txt Addition.txt
    • От DmitryT
      000.ZIP
      Попал через rdp открытый.
    • От phantom74rus
      Был пойман через RDP шифровальщика Crylock. Поиск по базе существующих ключей - безуспешен.
      Надеюсь на вашу помощь
      encrypt_files.zip FRST.txt Addition.txt how_to_decrypt.zip
×
×
  • Создать...