Показано с 1 по 4 из 4.

Просьба помочь с шифровальщиком [bitlocker@foxmail.com ].wiki. Расширение файлов .wiki (заявка № 223937)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2019
    Сообщений
    2
    Вес репутации
    1

    Unhappy Просьба помочь с шифровальщиком [bitlocker@foxmail.com ].wiki. Расширение файлов .wiki

    Доброго времени. К сожалению тоже словили обозначенного шифровальщика. Сложность в том, что малварь зашифровывает все на лету, даже с внешних носителей. Словили "коллеги", о письме или прочем не добился но есть скрин. (Извините, я первый раз на форумах, может что не так делаю, но правила прочел, с учетом стресса.) Касперский опознал зверя как Trojan-Ransom.Win32.Crusis.to. Есть две зараженные машины, на одной вообще не оказалось средств защиты. А на другой их две!!! (Аваст и Касп Фри)Не спрашивайте как. Причем как раз на той что без АП и есть главные файлы и база файловая 1с. Поскольку не было возможности запускать приложения на ней пока никаких очисток и прочего не проводил. Для получения лога Аутологера форматнул флешку NTFS и оставил разрешения на доступ только себе. Пляской и бубном со второго раза. Нужно ведь было записать лог на флешку. Пришлось на мгновение включить зар. машину напрямую к роутеру и воспользоваться онлайн сервисом (dropmefiles.com) и кинуть лог себе на почту. Надеюсь, он окажется полезным.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,314
    Вес репутации
    355
    Уважаемый(ая) boris-ne-vedis, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,727
    Вес репутации
    3077
    Здравствуйте.

    Расшифровки нет. Будет только зачистка следов мусора в системе.

    Выполните скрипт в AVZ из папки Autologger
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\venera\AppData\Roaming\1Bitlock.exe','');
     QuarantineFile('C:\Users\venera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Bitlock.exe','');
     TerminateProcessByName('c:\windows\system32\1bitlock.exe');
     QuarantineFile('c:\windows\system32\1bitlock.exe','');
     DeleteFile('c:\windows\system32\1bitlock.exe','32');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
     DeleteFile('C:\Users\venera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Bitlock.exe','32');
     DeleteFile('C:\Users\venera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1Bitlock.exe','x32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\venera\AppData\Roaming\Info.hta','x32');
     DeleteFile('C:\Users\venera\AppData\Roaming\1Bitlock.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    • Обратите внимание: будет выполнена перезагрузка компьютера.


    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    06.11.2019
    Сообщений
    2
    Вес репутации
    1
    Тирекс, спасибо за ваше внимание и рекомендации. К сожалению, без расшифровки (базы1С) система не интересна. Простите за наивность. Тут тема была с которой скопировал имя, но не въехал чем там все кончилось. (Лечение, т.е. удаление вируса?) Решили установить систему на новую и начать заново. К тому же и винда на зараженном компе неизвестного происхождения. Так что снова колдовать с флешкой, подключениями и вашим вниманием,пожалуй нерационально и вредно для других участников форума, у коих ситуации, возможно, не столь плачевны. Вот так и нас жаренный петух клюнул... Спасибо еще раз. Считаю вопрос закрытым.

  • Уважаемый(ая) boris-ne-vedis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 06.11.2019, 14:36
    2. Ответов: 2
      Последнее сообщение: 04.12.2014, 16:50
    3. Ответов: 4
      Последнее сообщение: 04.12.2014, 14:44
    4. Просьба помочь с расшифровкой filescrypt2014@foxmail.com_eLiNHO
      От Александр D в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.09.2014, 17:04
    5. Ответов: 7
      Последнее сообщение: 29.07.2014, 12:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01282 seconds with 18 queries