Решена Прошу о помощи с шифратором backspace@riseup.net_245

Статус
В этой теме нельзя размещать новые ответы.

Paradoks

Новый пользователь
Сообщения
5
Реакции
0
Добрый день. Меня зовут Павел, занимаю должность системного администратора. Столкнулся с проблемой, сотрудница подхватила вирус шифратор backspace@riseup.net_245. Поиски дешифратора по конкретному трояну были безуспешными. Наткнулся на тему у Вас на форуме. http://safezone.cc/threads/backspace-riseup-net-449.22850/ На данный момент у сотрудницы огромное количество зашифрованых документов xls, docx, pdf, архивов rar zip. Прилагаю логи. Надеюсь на скорый ответ. С уважением к Вам, Аввакумов П.А.
 

Вложения

  • CollectionLog-2014.01.22-12.38.zip
    63.9 KB · Просмотры: 3
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,904
Реакции
2,599
Выполните скрипт в AVZ

Код:
begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

QuarantineFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','');

DeleteFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','32');

DeleteFile('C:\Windows\system32\Tasks\gxrxbh','64');

DeleteFile('C:\Windows\Tasks\gxrxbh.job','64');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.


Выполните скрипт в AVZ

Код:
begin

CreateQurantineArchive('c:\quarantine.zip');

end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи
 
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 

Paradoks

Новый пользователь
Сообщения
5
Реакции
0
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?
Восхитительный банер вымогателя (Негр, страшная рожа и текст про пиратов). Загружается как картинка в диспетчере рисунков при старте. Очень поэтично... прикрепить?

Скрипт выполнил, логи прикрепил.
 

Вложения

  • CollectionLog-2014.01.27-16.15.zip
    62.1 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Если нет похабщины крепите в jpg. Если захотите убрать картинку, то перенесите ее из папки
Код:
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
По нашим данным никто дешифратором не поделился.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Бекапы? Лицензии drweb нет случаем?
 

Paradoks

Новый пользователь
Сообщения
5
Реакции
0
Нет, корпоративный Кашмарский.

Триального доктора веба не хватит?Есть возможность приобрести лицензию. Но есть ли вероятность, что их служба расшифровки даст результат?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,904
Реакции
2,599
Но есть ли вероятность, что их служба расшифровки даст результат?
Результат (полноценный) в утилитах Касперского или Доктора появляется в случае, если нужный дешифратор каким-либо образом попал в вирлаб
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу