Зашифровались фактически все данные

Printable View

30.01.2015, 10:24
it_alt

Вложений: 3

Зашифровались фактически все данные

Текст вымогателей:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .AMBA
Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.

Напишите нам письмо на адрес [email][email protected][/email] , чтобы узнать как получить дешифратор.

Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.

В письмо вставьте текст из файла 'ПРОЧТИ_МЕНЯ.txt' или напишите номер - 010396
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.

Приложил логи avz и hijackthis как в правилах

Взлом был произведен по rdp на одну из пользовательских учеток, далее залили архив брутфорса DUbrute 2.1, cpuminer-multi-wolf-experimental, а как понимаю зашифровывают данные утилитой "Dashlane_Launcher_biexplorer-1415645347". Далее забрутили пасс от админской учетки. Нашел все это в одной пользовательской папке по пути C:/users/"пользователь"/desktop/skype
Файлы могу прикрепить
30.01.2015, 10:26
Info_bot

Уважаемый(ая) [B]it_alt[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.01.2015, 14:22
mike 1

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
02.02.2015, 06:08
it_alt

Вложений: 1

Пожалуйста
02.02.2015, 13:21
mike 1

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGUI.EXE (PUP.HackTool.BruteForce) -> Действие не было предпринято.

Обнаруженные файлы: 18
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR.rar (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR\DUBrute_2.1\egui.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR\vnc_scanner_gui\vnc.exe (HackTool.Agent) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\safesurf-install\f\cg.exe (PUP.BitMiner) -> Действие не было предпринято.
C:\Win\1Rb\Rb\csrss.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Recycler\avira.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\updater.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\waagent.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\Wasppace.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\wasub.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\winlogon.exe (Trojan.Agent) -> Действие не было предпринято.
[/CODE]

Сбрутили вас. Меняйте пароли.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.