Перейти к содержанию

шифровальшик reddragon000@protonmail.ch

booksermc@gmail.com
 Share Подписчики 0

Рекомендуемые сообщения

booksermc@gmail.com

booksermc@gmail.com 0

Опубликовано
Опубликовано (изменено)

у нас в филиале поймали вирус шифровальщик reddragon000@protonmail.ch. на нашем файл-сервере зашифрована всего одна папка вроде бы . я её удалил так как она есть в бэкапе. Как проверить сервер что бы разрешить продолжить работать в безопасности. связь с филиалом разорвана и пока не требуется

CollectionLog-2020.06.10-12.30.zip

Изменено пользователем booksermc@gmail.com
добавлен лог
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pandion.lnk [2015-10-17]
ShortcutTarget: pandion.lnk -> C:\Users\admin.LAN\AppData\Roaming\Pandion\Application\pandion.exe (No File)

S2 Windows Ssyncer; C:\ProgramData\Microsoft\Windows NT\MSSyn\ssyncer.exe [X] <==== ATTENTION

2013-07-31 07:52 - 2011-05-29 00:03 - 000276992 _____ () C:\Users\admin.LAN\AppData\Roaming\UnRAR.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
thyrex

thyrex 1 468

Опубликовано
Опубликовано
29.06.2020 в 08:29, booksermc@gmail.com сказал:

у нас есть decoder. куда и кому мне его передать для анализа

А в нем нечего анализировать. Без ключей, которые нужны для конкретного пострадавшего, он бесполезен.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • 3dforever
      Тоже crylock
      От 3dforever
      Здравствуйте, а не могли бы и мне подсказать решение? Тоже crylock, но, возможно, первая версия. Заражен был году в 2019, лежал в гараже до лучших времен.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • MdkForever
      Pantone.xlsx[luisgreen@onionmail.org].[700D5646-0B4F9EA0]
      От MdkForever
      Здравствуйте.

      Есть возможность расшифровать данный вирус? 
      Один из зашифрованных файлов. https://disk.yandex.ru/d/QG2wqmbE3cG2XQ
      Если будет возможность предоставьте пожалуйста расшифрованный вариант
      Как я понял это CryLock
    • Новый Дом
      Поймали шифровальщик Raptorfiles@yahooweb.co
      От Новый Дом
      Вчера вечером взломали по RDP методом подбора паролей....
       
      В результате зашифрован 1 компьютер и 1 сетевой диск.
      Файлы логов с компьютера прилагаем. Как их получить с сетевого диска пока не ясно - разберемся позже...
       
      Очень нужна Ваша помощь!
      Файлы прилагаем.
       
      Спасибо!
      Addition.txt FRST.txt virus.rar
    • Vitaly9367
      Шифровальщик. [Raptorfiles@yahooweb.co].[AB3F62F5-F38B2CA6]
      От Vitaly9367
      Доброго времени суток. 

      После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
      Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

      Прикрепляю данные с двух серверов.
      Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip
    • DEFALT
      Crylock fileraptor@protonmail.com
      От DEFALT
      Поймали шифровальщик fileraptor@protonmail.com 
        Есть возможность что то сделать?

      Инструкция участнику видеоконференций Trueconf.pdf[fileraptor@protonmail.com].rar
×
×
  • Создать...