Перейти к содержанию

Windows Server 2008 подцепил шифровальщик, все файлы на сервере оказались зашифрованы


Рекомендуемые сообщения

Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...

 

Screenshot_4.png

CollectionLog-2020.10.29-11.48.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет. Но он пока активен в системе.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '');
 QuarantineFile('C:\Users\Wialon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Wialon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '');
 QuarantineFile('C:\Windows\System32\_adobe.tmp.259461.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('C:\Users\Wialon\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '64');
 DeleteFile('C:\Users\Wialon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Wialon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '64');
 DeleteFile('C:\Windows\System32\_adobe.tmp.259461.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFile('C:\Users\Wialon\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Wialon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\_adobe.tmp.259461.exe', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','_adobe.tmp.259461.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Wialon\AppData\Roaming\Info.hta', '64');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

Пожалуйста, перезагрузите компьютер вручную.

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Сделал все по инструкции:))

FRST.txt Addition.txt

 

А вообще шансы спасти данные есть или уже без вариантов? Потому что сама система то меня мало интересует :))

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, нет, система не очень интересует, ее быстрее и правильнее переустановить.

Сообщение от модератора Soft
Часть сообщений выделено в отдельную тему

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От eugene_peeers
      Доброго времени суток уважаемые форумчане,столкнулся с проблемой,не запускается Установщик Kaspersky Total Security.
      Были вирусы, полностью вычистил KVRT не помогло.
      CollectionLog-2021.03.02-22.58.zip
    • От VitProff
      Здравствуйте!
      Обращаюсь за помощью по расшифровке файлов базы данных 1С после шифровальщика.
      Расширение шифрованных файлов [yourfiles1@cock.li].NOV
       
      Пожалуйста помогите если есть возможность расшифровать.
    • От bakeryamaker
      Добрый вечер! 
      Рассказываю ситуацию : подхватил вирус на свой ноутбук, открыв папку с вирусом, антивирус сразу заругался, вылезло насколько окон о том, что "...файл помещен в карантин..."
      Я подумал, что можно не волноваться (моя глупость) ещё намного поработал, и успешно выключил ноутбук. 
      После последующего запуска системы, решил зайти в антивирус, проверить ноутбук, мало ли что осталось. Но антивирус не запускается, сколько бы я не тыкал мышкой. Хорошо, решил поискать в интернете, что это за проблема, жму на иконку хрома, а там все то же самое, но, попрошу заметить: работает проводник! 
      От имени администратора запустить тоже ничего нельзя, кнопки просто нет. 
      Командную строку через Win+R запустить тоже не получается, выбивает ошибку: Интерфейс не поддерживается. 
      Видел примерно такую же проблему на этом форуме, но там как то получилось поставить ComboFix, у меня же он просто не запустился, как и все остальные программы. 
      Диспетчер задач, что угодно вообще не открываются.... 
      Не могли бы вы мне помочь? Буду очень благодарен за помощь! 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • От Ливерпуль
      Добрый день!
      25.02.21 в 2 часа ночи произошло шифрование документов и баз 1С на сервере. Скорее всего был подобран пароль через RDP.
      Шифрование произошло под пользователем. Учетная запись админа в порядке. Картинки с требованиями не видел, черный экран при входе под пользователем.
      Спасибо за любую помощь!
       
      Addition.txt FRST.txt Docum.rar virus.rar
    • От anspasper
      лог не могу применить в AVZ, пишет установите новую версию, где взять ее


×
×
  • Создать...