• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Прошу о помощи с шифратором backspace@riseup.net_245

Статус
В этой теме нельзя размещать новые ответы.

Paradoks

Активный пользователь
Сообщения
5
Реакции
0
Баллы
231
Добрый день. Меня зовут Павел, занимаю должность системного администратора. Столкнулся с проблемой, сотрудница подхватила вирус шифратор backspace@riseup.net_245. Поиски дешифратора по конкретному трояну были безуспешными. Наткнулся на тему у Вас на форуме. http://safezone.cc/threads/backspace-riseup-net-449.22850/ На данный момент у сотрудницы огромное количество зашифрованых документов xls, docx, pdf, архивов rar zip. Прилагаю логи. Надеюсь на скорый ответ. С уважением к Вам, Аввакумов П.А.
 

Вложения

  • CollectionLog-2014.01.22-12.38.zip
    63.9 KB · Просмотры: 3
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,874
Реакции
2,581
Баллы
593
Выполните скрипт в AVZ

Код:
begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

QuarantineFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','');

DeleteFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','32');

DeleteFile('C:\Windows\system32\Tasks\gxrxbh','64');

DeleteFile('C:\Windows\Tasks\gxrxbh.job','64');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.


Выполните скрипт в AVZ

Код:
begin

CreateQurantineArchive('c:\quarantine.zip');

end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи
 
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 

Paradoks

Активный пользователь
Сообщения
5
Реакции
0
Баллы
231
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?
Восхитительный банер вымогателя (Негр, страшная рожа и текст про пиратов). Загружается как картинка в диспетчере рисунков при старте. Очень поэтично... прикрепить?

Скрипт выполнил, логи прикрепил.
 

Вложения

  • CollectionLog-2014.01.27-16.15.zip
    62.1 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
Если нет похабщины крепите в jpg. Если захотите убрать картинку, то перенесите ее из папки
Код:
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp
 

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
По нашим данным никто дешифратором не поделился.
 

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
Бекапы? Лицензии drweb нет случаем?
 

Paradoks

Активный пользователь
Сообщения
5
Реакции
0
Баллы
231
Нет, корпоративный Кашмарский.

Триального доктора веба не хватит?Есть возможность приобрести лицензию. Но есть ли вероятность, что их служба расшифровки даст результат?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,874
Реакции
2,581
Баллы
593
Но есть ли вероятность, что их служба расшифровки даст результат?
Результат (полноценный) в утилитах Касперского или Доктора появляется в случае, если нужный дешифратор каким-либо образом попал в вирлаб
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу