• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе santacrypt aol com roger

Константин-ств

Новый пользователь
Сообщения
18
Реакции
2
Баллы
3
Доброго дня всем, вот столкнулся с новым шифровальщиком. текстовика он не оставил с просьбами, но оставил незакрытый удаленный сеанс с картинкой ( запущенный экзешник с изо). название local.exe. Если у кого нибудь есть какие нибудь идеи, прошу помощи. В архиве зашифрованный файл, пароль vir и картинка, что оставил шутник de30c090-a275-402e-90a4-0d00be6210e8.jpg
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Здравствуйте!

Это не новый вид. Dharma (.cezar Family) и расшифровки для него нет.
Если нужна помощь в очистке возможных следов, соберите логи по правилам раздела.
 

Константин-ств

Новый пользователь
Сообщения
18
Реакции
2
Баллы
3
спасибо, сейчас админу передам пусть на серваке логи пособирает
я так понял потребуется только фарбаром пройтись? не имеет смысла искать копии?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Ran by logist3 (ATTENTION: The user is not administrator)
Утилиту нужно запускать от имени администратора. Переделайте, пожалуйста.
 

Константин-ств

Новый пользователь
Сообщения
18
Реакции
2
Баллы
3
сейчас переделает, админ запускал от пользователя, с которого зашел шифровальщик
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Удаляйте.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKU\S-1-5-21-13532157-607145677-3677739471-2108\...\Run: [C:\Users\logist3\AppData\Roaming\Info.hta] => C:\Users\logist3\AppData\Roaming\Info.hta [7216 2020-01-08] () [File not signed]
    Startup: C:\Users\logist3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-08] () [File not signed]
    HKU\S-1-5-21-13532157-607145677-3677739471-2108\...\Run: [winhost.exe] => C:\Users\logist3\AppData\Roaming\winhost.exe [94720 2020-01-08] () [File not signed]
    Startup: C:\Users\logist3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2020-01-08] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2020-01-08 01:16 - 2020-01-08 01:16 - 000007216 _____ C:\Users\logist3\AppData\Roaming\Info.hta
    2020-01-08 01:15 - 2020-01-08 01:15 - 000094720 _____ C:\Users\logist3\AppData\Roaming\winhost.exe
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 

Константин-ств

Новый пользователь
Сообщения
18
Реакции
2
Баллы
3
завтра пришлю отчет, сейчас невозможно перегрузить данную машину)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Хорошо, ждём.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Не "можно", а "нужно" :)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Договорились.
 

Константин-ств

Новый пользователь
Сообщения
18
Реакции
2
Баллы
3
Добрый день, можно будет немного подождать с закрытием темы? У нас легла база, пока не до снятия логов, да и нет возможности перегрузить все
 

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Хорошо. Да и при закрытии меняется только статус темы, ее всегда можно открыть и поменять статус.
 
Сверху Снизу