Помогите расшифровать файлы, зашифрованные JA Support. [Trojan-Downloader.Win32.Genome.qlia, not-a-virus:NetTool.Win32.Wasppace.l
]
Здравствуйте.
Были зашифрованы все файлы на сервере (документы, базы данных, все архивы и т.д.). Ко всем зашифрованным файлам добавилось расширение .crpt. Доступ к серверу злоумышленники получили видимо подобрав пароли к двум учетным записям терминального сервера.
В папке одного из этих пользователей обнаружил инфицированные файлы skype.exe. winlogsys.exe с датами создания совпадающими с датой шифрования (если необходимо пришлю). В каждой папке с зашифрованными файлами имеется файл ZALOCHENYFAJLY.txt со следующим содержанием: "Ваши файлы зашифрованы.Пишите сюда:[email protected] И Вам помогут"
Есть ли возможность расшифровать эти файлы?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) avp1975, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\MY PLAYLISTS\TEMP\WASPPACER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\MY PLAYLISTS\TEMP\WASPPACER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\SMSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\UPDATER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WASPPACER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\SMSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\UPDATER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕСТ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WASPPACER.EXE
zoo %SystemDrive%\INTEL\LOGS\WINLOGSYS.EXE
delall %SystemDrive%\INTEL\LOGS\WINLOGSYS.EXE
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Это серьезная дыра на сервере. Необходимо обновить Internet Explorer до 8 версии.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Folder: D:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\MY PLAYLISTS
Folder: D:\INTEL
Folder: D:\Вирусы!!!
Folder: D:\Documents and Settings\Павел\WINDOWS
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: