[email protected]

Printable View

23.05.2017, 16:39
xorh

Вложений: 1

[email protected]

появился новый недоделаный шифровальщик
архивирует нужные файлы и добавляет к ним [email][email protected][/email]

почему недоделаный - потому что он сам себя зашифровал :)

полазил по серверу, насобирал про него данные
запущен из под buh с помощью скрипта повысил себе права и что-то начал...

теневых копий нет, процесс шифрования не окончен
где искать ключ, как расшифровать?
23.05.2017, 16:41
Info_bot

Уважаемый(ая) [B]xorh[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.05.2017, 16:49
xorh

все, что скачал с профиля бухгалтера похожее на вирус выложил

в папке документы саморазархивирующийся файл nol (можно распаковать winrar) - он похоже был началом
23.05.2017, 19:09
thyrex

Папка Документы пустая
24.05.2017, 12:31
xorh

перезалил, файлы были скрытые...
26.05.2017, 10:38
xorh

"Последний раз редактировалось Aleksandra; Сегодня в 07:27. Причина: дополнил"

а почему после редактирования исчезла ссылка на папку с примером вируса?

и еще странность - при отключенном сервере пришло письмо от вымогателей "в вы наших услугах не нуждаетесь?"...

возобновил, кому интересно [удалено]
26.05.2017, 10:59
thyrex

В папке Документы только майнер, а не сам архиватор.

[quote="xorh;1451221"]а почему после редактирования исчезла ссылка на папку с примером вируса?[/quote]потому, что ссылка на активные вирусы не нужна в прямом доступе. После редактирования те, кому нужно ее увидеть, сумеют ее найти

[quote="xorh;1451221"]при отключенном сервере пришло письмо от вымогателей "в вы наших услугах не нуждаетесь?"...[/quote]значит они мониторят тему возможно.
26.05.2017, 19:18
xorh

еще накопал в диске с

[url]https://drive.google.com/open?id=0B9Hy_jv8N2P0aDdJODF2QjlKblU[/url]

папка с корзины и какой-то подозрительный файл с корня EUJVN (в содержимом grub4dos) --- может кто-то распознает, что это?

а в предыдущей ссылке у пользователя buh автоматически запускался скрипт c:\Windows\system32\