Перейти к содержанию

Прошу оказать помощь с шифровальщиком

delmon
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

С разархивированием помочь не сможем.

Поможем с закрытием дыры в системе.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
C:\Users\odv\AppData\Local\Google\Chrome\User Data\Default\Extensions\necfmkplpminfjagblfabggomdpaakan
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [{37425FF6-8D63-40B0-9279-3A947A062163}] => (Allow) LPort=3389
FirewallRules: [{39BA82E0-3742-491C-8F19-1FB9FF11F6FD}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
FirewallRules: [{89F3B15A-7807-4421-B3A9-E51FE01EB5D1}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => No File
FirewallRules: [{4A3226C5-9AB9-4D7A-B2D9-67343EC6F36F}] => (Allow) LPort=1346
FirewallRules: [{07DC07E4-06BD-4814-910E-B17755E08C2C}] => (Allow) LPort=1344
FirewallRules: [{D5B28C67-44CB-4097-A8FC-AF902BBB90B0}] => (Allow) LPort=1345
FirewallRules: [{138A4598-DD88-443E-8DD0-5A27828F496A}] => (Allow) LPort=1347
FirewallRules: [{A60BF794-CA12-4696-829C-B55369A4DB78}] => (Allow) LPort=15000
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Смените пароли на учётные записи администраторов, на подключение по RDP, Anydesk и Teamviewer.

  • 4 недели спустя...
delmon

delmon

Опубликовано
  • Автор
Опубликовано

Здравствуйте.  Выполнил только сегодня. Будут какие то еще рекомендации??

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Да, завершающие:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2. 

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Евгений Госсман
      Все папки заархивированы в RAR с паролем
      Автор Евгений Госсман
      Добрый день!
      Похоже по rdp подключились и все папки заархивировали(((
      Рядом с каждым архивом текстовый вайл с содержимым:
      Attention!
       If you are reading this message, your Computers was attacked by a dangerous virus. All your information (documents, databases, backups and other files) on your computer was encrypted with the most cryptographic algorithms. Restore files can only know the unique password for your computer. Choose it impossible. Changing the operating system does not change anything. Do not change the files! and if decided, then do back up. Write to the address mail servicecompany@asia.com (if there is no response within 24 hours using servicecompany@india.com) to learn how to get the password for data recovery. The letter is required to attach a unique identifier for your computer (located at the bottom of the text file).

      Your Unique Identificator: 3wtyaei174jse3aeyhpdg201weyhy
       
      Во вложении:
      1. Один из таких архивов (с паролем)
      2. Тот самый текстовый файл
      3. zip-архив с собранными логами (собран при помощи AutoLogger.exe)
      _README_README_README_README.txt
      CollectionLog-2017.04.10-11.58.zip
      пример.rar
    • Афанасий Ефимов
      servicecompany@asia.com Архиватор
      Автор Афанасий Ефимов
      Добрый день, подцепили вирус который заархивировал важные документы, и запаролил их. Я так думаю что так произошло потому что пробросили TCP порт 3389 для RDP. Просим дать совета или как то помочь.
      CollectionLog-2017.04.03-19.28.zip
    • Denis180477
      Вирус шифровальщик создал архивы RAR
      Автор Denis180477
      Windows Server 2003, на сервере два физических диска, есть доступ в инет.
      Утром на одном из дисков, где база данных 1С, а также все документы фирмы, все файлы и папки превратились в архивы RAR запароленные, и везде прописался файл readmi с адресом хакеров, просят за разблокировку 0,25 биткоинов
      Файлы с почты не открывал, в интернете ничего не ловил вроде, на сервере открыты только почтовые сайты и интернет банк.
      Последние дни жестко тормозил сервак, и зависал Firefox, как то при перезапуске показал ошибку Firefox plugin container.
       
      Что то можно сделать или нет, чтобы расшифровать файлы и устранить последствия атаки на будущее?
    • Serzhanya
      Заархивированы некоторые файлы и папки и установлен на них пароль.
      Автор Serzhanya
      Добрый день. Заархивированы некоторые файлы и папки и установлен на них пароль. Там где архивы есть текстовый документ следующего содержания.
      Здравствуйте. Ваши файлы зашифрованы обычным Winrar (нет вирусов и специальных программ)
      email мне  rarkey@india.com  IP адрес вашего сервер и я прислать Вам дальнейшие инструкции.


      P.s. Если Вы не знать Ваш IP, схдить на сайт 2ip.ru (это безопасно) и скопировать Ваш IP адрес в письмо мне.
      Я не обманывать и отдать Вам пароль после оплаты!
      Так-же я написать ваши трудности в безопасности и инструкцию, что-бы больше не был взлом никогда.
      Пароль подобрать к архивам не возможно, очень сложный и длинный, удаленные файлы восстановить не возможно,
      они стереть, не просто удален. Не тратить ценное время, заплатить мне, воостановить работу сервера,
       оплата после взять у Ваш системный администратор.
       
      Есть варианты расшифровать?
    • Виталий Сурков
      зашифрованная база 1С likilock@india.com.7z.001
      Автор Виталий Сурков
      Добрый день. Помогите пожалуйста , злоумышленники подключились на сервер через RDP, а там получили администратора и остальным убрали администраторов, но это через ERD было решено.
      Осталась проблема только с зашифрованной папкой где лежала база 1С (D:\UT) ее положили в архив и зашифровали (UT - likilock@india.com.7z.001) , так же на диске D данный архив постоянно дублируется в папку D:\tmp, там создалось уже 80 копий архива данного.
       
      Дополнительно:
      Был удален из Patch архиватор, был частично удален антивирус касперского, и как выше писал у всех учетных записей были убраны права администратора.
      CollectionLog-2017.03.07-23.43.zip
×
×
  • Создать...