Добрый день.
На домашний сервак проник шифровальщик.
Собранный лог во вложении.
Добрый день.
На домашний сервак проник шифровальщик.
Собранный лог во вложении.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Игорь Е, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Товарищи Админы! есть Идеи ?
Я готов оплатить Помощь+ , только ссылка на PayPal не даёт платить...
Здравствуйте!
Для определения типа вымогателя один из файлов Read-this.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
Файлики во вложении
Увы, это VoidCrypt, расшифровки нет.
Если нужна помощь в очистке системы от его следов, дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Файлы полученные после сканирования во вложении.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected].[[email protected]][MJ-KQ5234901876].crypyt [2021-10-03] () [Файл не подписан] 2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\Tasks\Read-this.txt 2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\SysWOW64\Read-this.txt 2021-10-03 23:07 - 2021-10-03 23:07 - 000000504 _____ C:\Windows\SysWOW64\Drivers\Read-this.txt 2021-10-03 23:06 - 2021-10-03 23:06 - 000000504 _____ C:\Windows\Read-this.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\[email protected].[[email protected]][MJ-KQ5234901876].crypyt End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
Смените пароли на админские учётки и на RDP.
Сделал. Fixlog в аттаче. Комп запустил на перегрузку
На этом всё.
т.е. система безопасна для работы с ней удаленно ? можно начать хотя бы восстанавливать системные файлы ? или нужно прогнать какой-нить антивирус ?
Да, после того, какСообщение от Игорь Е
Не помешает установить антивирус.
- - - - -Добавлено - - - - -
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера.
Есть ещё один вопрос.
У меня два сервера. Основной и вторичный. Все манипуляции я делал на втором. Но вот видимо процесс когда троян попал на сервак, я застал (был момент когда иконки ещё были нормальными и после перегрузки они стали плохими). НО! я сервер выключил и пока не включал. Я не думаю, что шифровальщик мог оперативно всё так обработать (там 10Тб)... И есть вероятность что на дисках лежит куски нормальные. Почему вероятность ? потому что там диски динамические и в обычной винде не показываются.... я поднял чистый сервак и диски(партиции) опять же не показываются... при этом, если грузиться с них (это я говорю про диски бекапного сервака) то они работают => есть какой-то обработчик, который это маскирует диски от меня, но при этом открывает при работе зараженной системы.... Отсюда вопрос, как подключить такие диски ? Может встречались с таким ?
- - - - -Добавлено - - - - -
Разобрался. Проблема в том, что динамические диски нельзя подключать через USB салазки.
Добрый день. Спустя 10 месяцев лекарство не появилось ?
К сожалению, нет.
Ваши права в разделе
Ответить с цитированием
