Сегодня обнаружил, что все файлы на сервере, где стоит пользовательский доступ (не администратора) были зашифрованы, и переименованы с расширением {OXLCOAKAQAZDKABXNGFETEDWMFECHATSTNLE-01.03.2015 5@38@234691936}[email protected].
Наличие вирусного ПО на сервере не найдено, следов проникновения тоже.
Прошу оказать содействие, расшифровать файлы или предоставить инструкцию по их расшифровке.
Готов оплатить услуги согласно тарифам сайта.
Во вложении файлы созданные согласно согласно инструкции.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) [email protected], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Файл загрузил, жду дальнейших инструкций.
Настройки AVZ вас пока никто не просил крутить. Удалите драйвер AVZPM, потом сделайте новые логи. Пароль от RDP смените на более стойкий.1.4 Поиск маскировки процессов и драйверов
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Отправляю новые файлы логов
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Высылаю Вам логи FRST
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: HKLM\...\Run: [] => [X] Folder: C:\!Virus File: C:\Documents and Settings\User22\Рабочий стол\1c.b7.exe.id-{OXLCOAKAQAZDKABXNGFETEDWMFECHATSTNLE-01.03.2015 5@38@234691936}[email protected]- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
fixlog
- - - - -Добавлено - - - - -
До указанного файла который вы описали, я недавно вышел "на след". Еще замечено следующее, заражение проведено с user22. в папке пользователя нашел вот эти два файла. Может вам это тоже поможет.
на диске D:\ есть каталог который был предоставлен в доступ. в нем тоже есть интересный файл.Упакован в XDrive.zip как имя сервера. Этого файла не было в этом каталоге.
Так ваш сервер просто тупо сбрутили. А когда сбрутили, вошли под учетной записью и запустили удаленно шифратор. Пароли от учетных записей и RDP меняйте.До указанного файла который вы описали, я недавно вышел "на след". Еще замечено следующее, заражение проведено с user22. в папке пользователя нашел вот эти два файла. Может вам это тоже поможет.
Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.Код:C:\Documents and Settings\User22\Рабочий стол\1c.b7.exe.id-{OXLCOAKAQAZDKABXNGFETEDWMFECHATSTNLE-01.03.2015 5@38@234691936}[email protected]
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Антивирус на компьютере случайно не находил Parite?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Находил, но я его не удалял. Он в расшаренных папках был.
Согласно рекомендациям, я ничего не удаляю на случай того, чтобы не было проблем с расшифровкой данных.
Этим обусловлена причина не удаления(чистки вируса)
Последний раз редактировалось [email protected]; 04.03.2015 в 20:06. Причина: Дополнение
Пролечитесь так http://support.kaspersky.ru/8093, потом сделайте лог полного сканирования MBAM
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) [email protected], наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
