cryakl 1.8.0.0 Шифровальщик [reddragon000@protonmail.com]

12 июня, 2020

Здравствуйте. Нарвались на шифровальщика. Kaspersky был удален вирусом и все файлы включая ярлыки и программные файлы зашифрованы. Есть ли возможность восстановить данные?

1C Предприятие.lnk[reddragon000@protonmail.com_sel1][654274708-1591832356].ibt

CollectionLog-2020.06.12-10.12.zip

Изменено 12 июня, 2020 пользователем triadax

12 июня, 2020

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

Сделайте новые логи

15 июня, 2020

12.06.2020 в 11:48, mike 1 сказал:

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).


O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

Сделайте новые логи

Сделал.

CollectionLog-2020.06.15-10.01.zip

Изменено 15 июня, 2020 пользователем triadax

15 июня, 2020

triadax, Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

16 июня, 2020

15 часов назад, mike 1 сказал:

triadax, Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Готово.

Addition.txt FRST.txt

Изменено 16 июня, 2020 пользователем triadax

16 июня, 2020

Сами блокировали политиками безопасности запуск антивируса?

Цитата

HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION

17 июня, 2020

11 часов назад, mike 1 сказал:

Сами блокировали политиками безопасности запуск антивируса?

Нет. Антивирус был деактивирован вирусом, а каталоги с логами Касперского пусты. На двух машинах 0 мб, на одной 10 кб, видимо не успел до конца отработать. Антивирус KES 10 стоит на всех машинах и управляется через Kaspersky cecurity center.

17 июня, 2020

Пароль на настройки антивируса политикой был задан?

Цитата

Kaspersky Endpoint Security 10 для Windows (HKLM-x32\...\{7A4192A1-84C4-4E90-A31B-B4847CA8E23A}) (Version: 10.2.6.3733 - "Лаборатория Касперского")

10 июля этого года поддержка этой версии будет прекращена полностью (перестанут выпускать базы).

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION
Task: {F33B650B-9D56-4C41-9AB1-F7BECB1CC384} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

18 июня, 2020

17 часов назад, mike 1 сказал:

Пароль на настройки антивируса политикой был задан?

Само собой.

Я извиняюсь, но сервер нужно было срочно вернуть в работу, поэтому выполнить скрипт не смогу.

Снял логи с пользовательской машины, та же беда.

CollectionLog-2020.06.18-14.41.zip FRST.txt Addition.txt

18 июня, 2020

Для другого АРМ создайте новую тему.

cryakl 1.8.0.0 Шифровальщик [reddragon000@protonmail.com]

Рекомендуемые сообщения

triadax

mike 1

triadax

mike 1

triadax

mike 1

triadax

mike 1

triadax

mike 1

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum