Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. 

 

Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена?

 

Цитата

an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an
DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled)
Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor
Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan
WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled)
Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор
Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов
Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled)

Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ
    C:\Users\an\appdata\local\temp\svcymh.exe
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новые логи.

Опубликовано

Касперский был почему-то полностью отключен, когда всё произошло.

Файл во вложении

Fixlog.txt

А дешифровать зашифрованные файлы получится?
Бэкапов нет, сервер недавно переустановил...

Опубликовано

Я так понял это 2.0.0.0, а для него дешифратора ещё нет?

 

Опубликовано

И не стоит надеяться на его появление в обозримом будущем.

Опубликовано
15 часов назад, Евгений111 сказал:

А дешифровать зашифрованные файлы получится?

В техподдержке спросите. 

 

15 часов назад, Евгений111 сказал:

Касперский был почему-то полностью отключен, когда всё произошло.

Собственно вероятно по этой причине:

 

Цитата

Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского")

 

У Вас KSC развернут в организации? 

15 часов назад, Евгений111 сказал:

Бэкапов нет, сервер недавно переустановил...

Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Drozdovanton
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • jackyzzz
      Автор jackyzzz
      Помогите расшифровать
       
      how_to_decrypt.zip №24.jpg[lamaskara@mailfence.com][vis].[1B4B4149-698AD13F].zip vir.zip
×
×
  • Создать...