Trojan-Ransom.Win32.Cryakl.aiv зашифровал файлы на сервере
Здравствуйте! На сервер через RDP подхватили заразу, активность заметили не сразу и вирус успел поработать
Пробовали дешифровать утилитой RannohDecryptor от Лаборатории Касперского, но ничего не получилось (зашифрованный файл, его оригинал и лог работы утилиты находятся в архиве shifr.rar).
Так же, удалось обнаружить сам шифровальщик (архив с шифратором и пароль на архив отправлю личным сообщением).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Zer_G, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH.SERVER\ИЗБРАННОЕ\ССЫЛКИ\SQU\KPORT\KPORTSCAN3.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH.SERVER\ИЗБРАННОЕ\ССЫЛКИ\SQU\SSH\SSHB.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH.SERVER\ИЗБРАННОЕ\ССЫЛКИ\SQU\KPORT\KPORTSCAN3.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH.SERVER\ИЗБРАННОЕ\ССЫЛКИ\SQU\SSH\SSHB.EXE
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Папку удалите C:\DOCUMENTS AND SETTINGS\GLBUH.SERVER\ИЗБРАННОЕ\ССЫЛКИ\SQU. С расшифровкой не поможем. Сервер свой обновляйте, а то опять залезут и Касперский вас не спасет, если никаких мер не примете. Рекомендации по настройке сервера найдете здесь https://1cloud.ru/help/windows/windowssecurity#update