Закрыто Расшифровка [veracrypt@foxmail.com].adobe

Статус
В этой теме нельзя размещать новые ответы.

CProf

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Еще найден файл exe, возможно тело вируса
 
Последнее редактирование модератором:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Здравствуйте!

Увы, расшифровки этой версии вымогателя нет.
Смените пароли на RDP, перепроверьте общие ресурсы системы (на все логические диски открыт доступ).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
 QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('F:\$RECYCLE.BIN\S-1-5-21-944603969-1832742578-413553894-1006\$RC7TLE0.exe','');
 DeleteFile('F:\$RECYCLE.BIN\S-1-5-21-944603969-1832742578-413553894-1006\$RC7TLE0.exe','64');
 DeleteFile('C:\Users\dim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AA_v3.3 - Ярлык.lnk');
 DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
 DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-944603969-1832742578-413553894-1001\Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-944603969-1832742578-413553894-1001\Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-944603969-1832742578-413553894-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\user1\AppData\Roaming\Info.hta', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-944603969-1832742578-413553894-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\user1\AppData\Roaming\Info.hta', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

akok

Команда форума
Администратор
Сообщения
16,797
Реакции
13,200
Баллы
2,203
Последнее редактирование:

CProf

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
😭😭 Жаль конечно. Спасибо, будем восстанавливаться из того что есть.
 

akok

Команда форума
Администратор
Сообщения
16,797
Реакции
13,200
Баллы
2,203
Если система не под форматирование, то
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Нужно долечить и закрыть уязвимости. И да, через взломанную машину пытались прощупать сеть
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу