Решена без расшифровки Помощь в расшифровке файлов

Статус
В этой теме нельзя размещать новые ответы.
O

OverMan

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день,словил шифровальщик на один из серверов,просьба помочь в расшифровке если таковая есть.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,878
Реакции
1,763
Баллы
503
Здравствуйте!

advanced ip scanner 2 - запускали самостоятельно?

помочь в расшифровке
К сожалению нет. Но вымогатель еще активен, поможем очистить.

Дополнительно:
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
O

OverMan

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
По поводу advanced ip scanner 2 - нет
Дополнительно я выгрузил по ссылке которую вы дали.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,878
Реакции
1,763
Баллы
503
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\oksana\appdata\local\temp\20\advanced ip scanner 2\advanced_ip_scanner.exe');
 TerminateProcessByName('c:\users\oksana\appdata\local\temp\xxyyzaabbc.exe');
 TerminateProcessByName('c:\users\oksana\appdata\roaming\ns.exe');
 QuarantineFile('c:\users\oksana\appdata\local\temp\20\advanced ip scanner 2\advanced_ip_scanner.exe', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\LIBEAY32.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\pcre.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\platforms\qwindows.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Core.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Gui.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Network.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5PrintSupport.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Widgets.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Xml.dll', '');
 QuarantineFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\ssleay32.dll', '');
 QuarantineFile('c:\users\oksana\appdata\local\temp\xxyyzaabbc.exe', '');
 QuarantineFile('c:\users\oksana\appdata\roaming\ns.exe', '');
 DeleteFile('c:\users\oksana\appdata\local\temp\20\advanced ip scanner 2\advanced_ip_scanner.exe', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\LIBEAY32.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\pcre.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\platforms\qwindows.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Core.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Gui.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Network.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5PrintSupport.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Widgets.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\Qt5Xml.dll', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\20\Advanced IP Scanner 2\ssleay32.dll', '');
 DeleteFile('c:\users\oksana\appdata\local\temp\xxyyzaabbc.exe', '');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\XXYYZAABBC.exe', '32');
 DeleteFile('C:\Users\Oksana\AppData\Local\Temp\XXYYZAABBC.exe', '64');
 DeleteFile('c:\users\oksana\appdata\roaming\ns.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-420705448-2534231062-91878640-1024\Software\Microsoft\Windows\CurrentVersion\Run', '3431431246', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-420705448-2534231062-91878640-1024\Software\Microsoft\Windows\CurrentVersion\Run', '3431431246', '64');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
O

OverMan

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Результат загрузки:
OverMan, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2018.12.12_quarantine_5eb6670b6a1d800367c477ddc928fdf7.7z
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,878
Реакции
1,763
Баллы
503
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
O

OverMan

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Держите
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,878
Реакции
1,763
Баллы
503
Настройте антивирус на защиту от шифрования.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

На всякий случай сохраните один из README.txt

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
O

OverMan

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Запрос создать не могу,так как кончилась лицензия уже на касперского,а убирать уязвимости пока невижу смысла,т.к либо нужно будет всеравно переустанавливать всю ОС,ну а если уж они заплатят и расшифруется,то тогда конечно сделаю,вариантов расшифровки я так понимаю нету?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу