Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

 

Помогите вылечить.

Сервер 1С поймал Trojan-Ransom.Win32.Crypren.vho 

Все файлы, включая загрузочные, переименовались в: [decrypt353@aol.com][id=EEA9F253]{имя файла}.{расширение файла}.notfound

На другой машине сканировал диск. Нашёл HEUR:Trojan-Ransom.Win32.Crypren.vho в кэше Google Chrome. 

Лог собран на загрузочном диске.

 

Заранее благодарен.

FRST.txt HOW TO RECOVER ENCRYPTED FILES.txt

Ссылка на сообщение
Поделиться на другие сайты

Второй лог не создается для запуске с WinPE с флешки

[decrypt353@aol.com][id=EEA9F253]TOTALCMD.EXE.rar

[decrypt353@aol.com][id=EEA9F253]BOOTSECT.BAK.rar

Изменено пользователем Aardvark
Ссылка на сообщение
Поделиться на другие сайты
Цитата

HKLM-x32\...\Run: [avp] => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 for Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab -> Kaspersky Lab ZAO)

Далеко пойдете с таким отношением к обеспечению безопасности рабочих станций и серверов. Для нее базы уже не выпускают, а некоторые люди сидят до последнего пока гром не грянет. 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, mike 1 сказал:

Далеко пойдете с таким отношением к обеспечению безопасности рабочих станций и серверов. Для нее базы уже не выпускают, а некоторые люди сидят до последнего пока гром не грянет. 

Спасибо за информацию. Так и передам.

А что по вопросу помощи в дешифровке?

Ссылка на сообщение
Поделиться на другие сайты
21 час назад, Aardvark сказал:

Спасибо за информацию. Так и передам.

А что по вопросу помощи в дешифровке?

Уточните в техподдержке через Company Account. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От besupremebeing
      Здравствуйте!
      К сожалению не являюсь клиентом Касперского, но надеюсь, что кто-нибудь поделиться имеющейся информацией.
      Проникновение вымогателя произошло через поиск RDP (non-over-vpn) и последующего брут-форса - всё банально.
      Вымогатель - The DMR (Clown ransomware): https://id-ransomware.malwarehunterteam.com/identify.php?case=4b92ef5d3c7e2418432bd892366f59a560abd43c
      Если не ошибаюсь текущий статус вымогателя - "изучение".
       
      HOW TO RECOVER ENCRYPTED FILES.txt [decrypt353@aol.com][id=]default.vrd.zip
×
×
  • Создать...