Перейти к содержанию

Рекомендуемые сообщения

у нас в филиале поймали вирус шифровальщик reddragon000@protonmail.ch. на нашем файл-сервере зашифрована всего одна папка вроде бы . я её удалил так как она есть в бэкапе. Как проверить сервер что бы разрешить продолжить работать в безопасности. связь с филиалом разорвана и пока не требуется

CollectionLog-2020.06.10-12.30.zip

Изменено пользователем booksermc@gmail.com
добавлен лог
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pandion.lnk [2015-10-17]
    ShortcutTarget: pandion.lnk -> C:\Users\admin.LAN\AppData\Roaming\Pandion\Application\pandion.exe (No File)
    
    S2 Windows Ssyncer; C:\ProgramData\Microsoft\Windows NT\MSSyn\ssyncer.exe [X] <==== ATTENTION
    
    2013-07-31 07:52 - 2011-05-29 00:03 - 000276992 _____ () C:\Users\admin.LAN\AppData\Roaming\UnRAR.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
29.06.2020 в 08:29, booksermc@gmail.com сказал:

у нас есть decoder. куда и кому мне его передать для анализа

А в нем нечего анализировать. Без ключей, которые нужны для конкретного пострадавшего, он бесполезен.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От aristokrat
      Сегодня ночью зашифровал не только у себя на компе, но и на расшаренных папках
       
      Addition.txt crylock.rar FRST.txt
    • От nevvermind
      Добрый день,  по этой версии шифровальщика нет шансов?
       
      пароль на архив с зашифрованными " 1 "
       
       
      Downloads.rar
    • От Maks Crane
      Добрый день
      В 2016 году был пойман вирус шифровальщик - все банально - было открыто какое то письмо и осуществлен переход по ссылке.
      Оригинал письма был удален, восстановить нет возможности.
       
      По всем описаниям (имя файла, тип заражаемого файла) подходит под Crayckl 1.2 (скриншот во вложении)
      Названия файла соответствуют маске email-<...>.ver-<...>.id-<...>.randomname-<...>.<CBF> 
       
      Сканирование на предмет наличия вируса ничего не дало. Возможно был удален ранее.
      Скриншотов или иных файлов с требованиями также не имею в наличии.

      У всех расширение CBF. Пытаюсь лечить так: загружаюсь с Live Flash, зараженный диск подключается как второстепенный (с него загрузки не происходит).
      Ни RakhniDecryptor, ни Rannoh Decryptor (этот требует оригинального, незараженного файла, которого увы нет) 
       

    • От Adugs
      Здравствуйте и с Новым Годом Вас!
       
      Во время выходных на фирме, в наш компьютер залез вирус и зашифровал нам файлы базы 1с, excel документы и т.д. с требованием выкупа для расшифровки файлов. Базу 1с восстановили из Back Up с потерей в 1 день, а важные документы восстановить не можем. Злодей отключил Kaspersky Internet Security, предположительно зайдя на профиль нашего нового сотрудника через Remote Desktop, и все доступные сотруднику файлы зашифровал. После запуска KIS и полного сканирования компьютера, был обнаружен троян и удалён, и профиль пользователя так-же был мною удалён, воизбежание повторной попытки проникновения. Может у вас есть решение для этой проблемы? 
       
      Большое спасибо!
      Kaspersky.rar FRST.txt Addition.txt
    • От SergL
      Здравствуйте.
      Словили такого же шифровальщика: reddragon000@protonmail.ch
      Просьба помочь с восстановлением файлов.
      Спасибо!
      Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...