Зашифрованы файлы. Добавлено расширение [email protected] [Trojan-Ransom.Win32.Rakhni.cz
]
В течение нескольких часов были зашифрованы и переименовано с указанным расширением файлы .doc, .zip, .xlx, .jpg и другие файлы с данными.
Drweb CureIt ничего не нашел, дешифратор RectorDecryptor часть файлов не распознал, на другие в логах пишет, что расшифровал, восстановил с оригинальным расширением, однако файл поврежден.
ОС Windows 2008 Server R2. Несколько пользователей терминального режима; через профиль одного из них вирус и проник. Имеется письмо автора с просьбой денег за дешифровку. Исполняемый файл трояна найден и сохранен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dr_art, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Версия Windows: 6.1.7601, Service Pack 1 "Windows Server 2008 R2 Standard" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#7)
Логи сделайте не через терминальную сессию. И базы AVZ заодно обновите
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('e:\dfsroot\profiles\Волкова\AppData\Roaming\ghhhhjjjjk', '*.exe', true, ' ', 0, 0);
DeleteFile('e:\dfsroot\profiles\Волкова\AppData\Roaming\ghhhhjjjjk\eeerrrrrrtttt.html','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3889813762-2575516831-1476147862-1142\Software\Microsoft\Windows\CurrentVersion\Run','0');
DeleteFileMask('e:\dfsroot\profiles\Волкова\AppData\Roaming\ghhhhjjjjk', '*', true, ' ');
DeleteDirectory('e:\dfsroot\profiles\Волкова\AppData\Roaming\ghhhhjjjjk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: