В работе Поймали WTF2000@cock.li

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Зашифровал данные на одном клиентском компе и на сервере 1С.
Восстановили часть из архивов - пожрал снова.
Как изловить? Одноранговая сеть на примерно 20 компов.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Расшифровки этого типа вымогателя нет, будет только зачистка следов.

Если не самостоятельно ставили
Process Hacker 2.39 (r124)
деинсталлируйте.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-26] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\User\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Готово. Комп от интернета отключен, все операции провожу оффлайн
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Комп от интернета отключен, все операции провожу оффлайн
Базы утилиты староваты, но исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.2.49.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 5.2.0 (64-bit) v.5.2.0 Внимание! Скачать обновления
Foxit Reader v.8.3.2.25013 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ IM ] ----------------------------------
Skype™ 5.8 v.5.8.158 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Вирус зашифровал все, включая исполняемые файлы.
Программы не работают так как не запускаются.
Видимо придется форматировать
 
Сверху Снизу