• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто santacrypt aol com roger

Статус
В этой теме нельзя размещать новые ответы.

Константин-ств

Новый пользователь
Сообщения
25
Реакции
3
Доброго дня всем, вот столкнулся с новым шифровальщиком. текстовика он не оставил с просьбами, но оставил незакрытый удаленный сеанс с картинкой ( запущенный экзешник с изо). название local.exe. Если у кого нибудь есть какие нибудь идеи, прошу помощи. В архиве зашифрованный файл, пароль vir и картинка, что оставил шутник
de30c090-a275-402e-90a4-0d00be6210e8.jpg
 

Вложения

  • [santacrypt@aol.com].7z
    3.1 MB · Просмотры: 0
Здравствуйте!

Это не новый вид. Dharma (.cezar Family) и расшифровки для него нет.
Если нужна помощь в очистке возможных следов, соберите логи по правилам раздела.
 
спасибо, сейчас админу передам пусть на серваке логи пособирает
я так понял потребуется только фарбаром пройтись? не имеет смысла искать копии?
 
Ran by logist3 (ATTENTION: The user is not administrator)
Утилиту нужно запускать от имени администратора. Переделайте, пожалуйста.
 
сейчас переделает, админ запускал от пользователя, с которого зашел шифровальщик
 
Удаляйте.
 
отчеты из под админа
 

Вложения

  • FRST.txt
    78.3 KB · Просмотры: 1
  • Addition.txt
    30.7 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKU\S-1-5-21-13532157-607145677-3677739471-2108\...\Run: [C:\Users\logist3\AppData\Roaming\Info.hta] => C:\Users\logist3\AppData\Roaming\Info.hta [7216 2020-01-08] () [File not signed]
    Startup: C:\Users\logist3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-08] () [File not signed]
    HKU\S-1-5-21-13532157-607145677-3677739471-2108\...\Run: [winhost.exe] => C:\Users\logist3\AppData\Roaming\winhost.exe [94720 2020-01-08] () [File not signed]
    Startup: C:\Users\logist3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2020-01-08] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    2020-01-08 01:16 - 2020-01-08 01:16 - 000007216 _____ C:\Users\logist3\AppData\Roaming\Info.hta
    2020-01-08 01:15 - 2020-01-08 01:15 - 000094720 _____ C:\Users\logist3\AppData\Roaming\winhost.exe
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Хорошо, ждём.
 
Не "можно", а "нужно" :)
 
Договорились.
 
Добрый день, можно будет немного подождать с закрытием темы? У нас легла база, пока не до снятия логов, да и нет возможности перегрузить все
 
Хорошо. Да и при закрытии меняется только статус темы, ее всегда можно открыть и поменять статус.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу