Добрый день.
На домашний сервак проник шифровальщик.
Собранный лог во вложении.
Printable View
Добрый день.
На домашний сервак проник шифровальщик.
Собранный лог во вложении.
Уважаемый(ая) [B]Игорь Е[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Товарищи Админы! есть Идеи ?
Я готов оплатить Помощь+ , только ссылка на PayPal не даёт платить...
Здравствуйте!
Для определения типа вымогателя один из файлов Read-this.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
Файлики во вложении
Увы, это VoidCrypt, расшифровки нет.
Если нужна помощь в очистке системы от его следов, дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Файлы полученные после сканирования во вложении.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected].[[email protected]][MJ-KQ5234901876].crypyt [2021-10-03] () [Файл не подписан]
2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\Tasks\Read-this.txt
2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\SysWOW64\Read-this.txt
2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\SysWOW64\Drivers\Read-this.txt
2021-10-03 23:06 - 2021-10-03 23:06 - 000000504 _____ C:\Windows\Read-this.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected].[[email protected]][MJ-KQ5234901876].crypyt
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер перезагрузите вручную.
Смените пароли на админские учётки и на RDP.
Сделал. Fixlog в аттаче. Комп запустил на перегрузку
На этом всё.
т.е. система безопасна для работы с ней удаленно ? можно начать хотя бы восстанавливать системные файлы ? или нужно прогнать какой-нить антивирус ?
[quote="Игорь Е;1522376"]система безопасна для работы с ней удаленно ?[/quote]
Да, после того, как
[quote="Sandor;1522373"]Смените пароли на админские учётки и на RDP[/quote]
Не помешает установить антивирус.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Проверьте уязвимые места:
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.
[URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]
Есть ещё один вопрос.
У меня два сервера. Основной и вторичный. Все манипуляции я делал на втором. Но вот видимо процесс когда троян попал на сервак, я застал (был момент когда иконки ещё были нормальными и после перегрузки они стали плохими). НО! я сервер выключил и пока не включал. Я не думаю, что шифровальщик мог оперативно всё так обработать (там 10Тб)... И есть вероятность что на дисках лежит куски нормальные. Почему вероятность ? потому что там диски динамические и в обычной винде не показываются.... я поднял чистый сервак и диски(партиции) опять же не показываются... при этом, если грузиться с них (это я говорю про диски бекапного сервака) то они работают => есть какой-то обработчик, который это маскирует диски от меня, но при этом открывает при работе зараженной системы.... Отсюда вопрос, как подключить такие диски ? Может встречались с таким ?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Разобрался. Проблема в том, что динамические диски нельзя подключать через USB салазки.
Добрый день. Спустя 10 месяцев лекарство не появилось ?
К сожалению, нет.