Прошу уточнить возможность помощи с расшифровкой файлов в рамках подписки "Помогите+".
Зашифрованы в основном ворд и эксель файлы, имена после шифрования имеют вид "[email protected]Прайс 01.03.xls.odcodc"
Шифровщик еще висит в процессах, он уперся в отсутствие свободного места на диске, так что "бошка" этой заразы есть.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Лелик&Болик, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Но позвольте... Правила я читал, но вот тут четко написано:
"Обратите особое внимание: если у вас проблема с зашифрованными файлами, то перед тем, как оплатить услугу обязательно уточните на форуме, сможем ли мы помочь. Это можно сделать в разделе Помогите, создав там тему и предоставив информацию о том, какой вид приобрели зашифрованные файлы (имя.расширение)."
ОС win server 2003 SP2
Подозреваю саботаж, похоже было запущено руками.
Есть скрипт сборки и ехе файл(пускачь вируса, который висел в процессах) если надо - выложу.
Есть скрипт сборки и ехе файл(пускачь вируса, который висел в процессах) если надо - выложу
Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните скрипт в AVZ
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
TerminateProcessByName('c:\documents and settings\sklad\my documents\13.exe');
QuarantineFile('c:\documents and settings\sklad\my documents\13.exe','');
DeleteFile('c:\documents and settings\sklad\my documents\13.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Добрый вечер.
скрипты сборки и ехе загрузил в красную ссылку.
скрипты авг и последующие логи - завтра, сервер удаленный, физического доступа к нему на данный момент нет.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: