Перейти к содержанию

Поймал шифровальщика

Евгений111
 Share Подписчики 1

Рекомендуемые сообщения

mike 1

mike 1 1 051

Опубликовано
Опубликовано

Здравствуйте. 

 

Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена?

 

Цитата

an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an
DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled)
Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor
Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan
WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled)
Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор
Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов
Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled)

Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ
C:\Users\an\appdata\local\temp\svcymh.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты
Евгений111

Евгений111 0

Опубликовано
  • Автор
Опубликовано

Касперский был почему-то полностью отключен, когда всё произошло.

Файл во вложении

Fixlog.txt

А дешифровать зашифрованные файлы получится?
Бэкапов нет, сервер недавно переустановил...

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано
15 часов назад, Евгений111 сказал:

А дешифровать зашифрованные файлы получится?

В техподдержке спросите. 

 

15 часов назад, Евгений111 сказал:

Касперский был почему-то полностью отключен, когда всё произошло.

Собственно вероятно по этой причине:

 

Цитата

Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского")

 

У Вас KSC развернут в организации? 

15 часов назад, Евгений111 сказал:

Бэкапов нет, сервер недавно переустановил...

Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Ольга23
      Adtonus.com Как избавиться?
      От Ольга23
      Не знаю как убрать. Зашла в яндекс браузер, и там полезли сайты с 18+ тематикой, до этого никуда не заходила. Скачала касперский, удалил трояны и начали выскакивать уведомления что остановлена загрузка https://adtonus.com/code?id=11. И так каждую минуту. Далее скачала Malwarebytes и adwcleaner, тоже не очистили это. Даже не могу понять что это. Яндекс переустановила и все равно такая же фигня
    • adventure291277
      crylock 2.0.0.0 Шифровальщик-вымогатель hopeandhonest@smime.ninja
      От adventure291277
      Поймал шифровальщик Crylock 2.0.0.0 [hopeandhonest@smime.ninja]. Получил 6 терабайт зашифрованого пространства ( Там фото и видео архив семьи за 15 лет . Может можно чем-то помочь?   
      ВУЗ Поступление.rar
    • djapostol
      Поймал AMD.exe
      От djapostol
      Поймал amd.exe, который все блокирует и закрывает, что делать? 
       
      Из реестра удалил все исключения на антивирусы, но он их все равно закрывает через секунду..
    • ErazU
      dilerscv32 dilerscv64
      От ErazU
      Доктор веб кюрет видит эти два вируса,но вылечить не может
    • Игорь777777
      Вирус lockbit black
      От Игорь777777
      при открытии вложения письма, оказались зашифрованы файлы, добавилось расширение файлов KIUDwbi3u. Каким дешифратором можно воспользоваться для восстановления файлов? Размещенные на сайте утилиты не помогли.
      Desktop.rar Addition.txt FRST.txt
×
×
  • Создать...