Шифровальщик Omerta. комп подключенный по RDP

[vlad_1976]

Здравствуйте!
Предоставляю отчет, созданный на одном из 2-х компьютеров, который был подключен извне по RDP

[Info_bot]

Уважаемый(ая) vlad_1976, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sandor]

Здравствуйте!

Файл

D:\YAMAL\restartexplorer.bat

вам известен?

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Пару зашифрованных файлов с запиской с требованием выкупа (если есть такая) упакуйте в архив и прикрепите к следующему сообщению.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\svchost.vbs', '');
 QuarantineFile('D:\YAMAL\restartexplorer.bat', '');
 DeleteFile('C:\ProgramData\Windows\svchost.vbs', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.




Сделайте повторные логи по правилам. (CollectionLog)

[vlad_1976]

Файл
D:\YAMAL\restartexplorer.bat
вам известен?

Известен. Этот файл специально создан. И на этом компьютере не было зашифрованных файлов. И это продолжение этого https://virusinfo.info/showthread.php?t=220156 и этого https://virusinfo.info/showthread.ph...035&highlight=

- - - - -Добавлено - - - - -

Файл успешно загружен

MD5 карантина: 4EF60BA55F55D9D134256160ABC90ED7
Размер файла: 6262749 байт
ссылка на карантин https://virusinfo.info/virusdetector...256160ABC90ED7

Карантин загрузил
Файл сохранён как 180914_112757_quarantine_5b9b9b3d49cf8.zip
Размер файла 607
MD5 bc605763c92fadd32adace9f33e9b6ef

Отчет во вложении. И пара зашифрованных файла

[Sandor]

К сожалению, это Scarab, расшифровки нет.

Для очистки возможных следов и мусора дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[vlad_1976]

Отчеты Farbar

[Sandor]

на этом компьютере не было зашифрованных файлов

Следов вымогателя здесь тоже нет.
Увы, больше помочь нечем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены