Текст вымогателей:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .AMBA
Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
Напишите нам письмо на адрес [email protected] , чтобы узнать как получить дешифратор.
Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.
В письмо вставьте текст из файла 'ПРОЧТИ_МЕНЯ.txt' или напишите номер - 010396
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.
Приложил логи avz и hijackthis как в правилах
Взлом был произведен по rdp на одну из пользовательских учеток, далее залили архив брутфорса DUbrute 2.1, cpuminer-multi-wolf-experimental, а как понимаю зашифровывают данные утилитой "Dashlane_Launcher_biexplorer-1415645347". Далее забрутили пасс от админской учетки. Нашел все это в одной пользовательской папке по пути C:/users/"пользователь"/desktop/skype
Файлы могу прикрепить
Последний раз редактировалось it_alt; 30.01.2015 в 13:45.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) it_alt, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGUI.EXE (PUP.HackTool.BruteForce) -> Действие не было предпринято.
Обнаруженные файлы: 18
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR.rar (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR\DUBrute_2.1\egui.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\Phone\safesurf-install2\BR\BR\vnc_scanner_gui\vnc.exe (HackTool.Agent) -> Действие не было предпринято.
C:\Users\manager\Desktop\Skype\safesurf-install\f\cg.exe (PUP.BitMiner) -> Действие не было предпринято.
C:\Win\1Rb\Rb\csrss.exe (PUP.HackTool.BruteForce) -> Действие не было предпринято.
C:\Recycler\avira.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\updater.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\waagent.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\Wasppace.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\wasub.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Recycler\winlogon.exe (Trojan.Agent) -> Действие не было предпринято.
Сбрутили вас. Меняйте пароли.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.