Printable View
[COLOR=#333333]Вирус [/COLOR][COLOR=#333333]зашифровал файлы на компьютере они стали вида [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL]*[COLOR=#333333].cbf помогите пожалуйста восстановить поврежденные файлы.
Вот [/COLOR][COLOR=#333333]описание события:
[/COLOR][email protected]
0.0.0.0
2a425e19
kernel32.dll
6.0.6002.18005
49e037dd
c0000005
000bf9cd
948
01d19e982ab54f38
Уважаемый(ая) [B]Kiselev_Y[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Шифровальщик запустили прямо на сервере?
Да. Запустили прямо на сервере. Скорее всего через RDP. К нему был подключен сетевой диск, который частично пострадал. Часть данных осталась, т.к. успели выключить машину на которой был сетевой диск. Сейчас фон рабочего стола выглядит так (см вложение)
Смотрел файлы, которые получил через AVZ. Там есть пользователь "vall", которого у меня никогда не было и который по времени создания похож на время, когда начал работать шифровальщик. Этот пользователь в папке users есть, но когда заходишь через панель управления в учетные записи - его там не видно.
Пришлите пример шифрованного файла в мою коллекцию
[url]https://yadi.sk/d/6f2MyF3lrKRJn[/url]
А еще примеры файлов прислать можете (желательно документs Word, картинки)
[url]https://yadi.sk/d/jVFqeD1qrLmY7[/url] там файлы + оригиналы файлов. (нашёл на другой машине)
Эти файлы зашифрованы с другим ключом. Поищите еще те, в имени которых есть XUOMREYSQKGECZWSPMJGDAWTQNKGDAYUOIEB-25.04.2016 6@43@478795639
[url]https://yadi.sk/d/toG_z_yqrLqWK[/url]
На сервере оказалось всего 3 файла с подобным именем. Из них 2 - это бэкап БД.
Остальные -25.04.2016 [email]5@[email protected][/email]
[url]https://yadi.sk/d/mUcWtOfNrLs4U[/url] Список файлов в папке BackUp. Интересно, что эти 2 файла изменены по прошествии чуть более часа, после того как были изменены остальные.
Проверяйте ЛС
Ответил в ЛС.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]