Зашифрованные все фалы id-{MPQRTVWYYACCEFGHJKLMTUVWYYABDDFGHIJL-28.05.2015 4@24@383583078}[email protected]
Помогите!!!
ночью совершили атаку на сервер, после чего система перестала запускаться. Точнее запускается, а когда нужно выбрать пользователя пишет ошибку. Зашел через WIN PE и обнаружил что все файлы на диске Д такого вида:
"название файла.расширение.id-{MPQRTVWYYACCEFGHJKLMTUVWYYABDDFGHIJL-28.05.2015 4@24@383583078}[email protected]"
Что делать?
снять логи неполучится. снял через WIN PE.
у меня стоит win server 2008. 32 озу.
Бэкапы ситстемы тоже заразились.
Вся беда в том что это сервер 1С на котором несколько рабочих баз были. На некоторые базы выгрузка не делалась. как их восстановить без переустановки в том виде какие они есть??
Прикладываю логи win PE и зашифрованного файла
Последний раз редактировалось ecvilim; 28.05.2015 в 16:47.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ecvilim, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\1\explorer.exe','');
DeleteFile('C:\Program Files (x86)\1\explorer.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Расшифрованный файл http://rghost.ru/6p9n2Pdwr из первого сообщения. Для теста дешифратора можете прислать немного больше зашифрованных файлов разных типов?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: