Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
“Загрузил Ammyy Admin на два компьютера сегодня утром. Теперь файлы на обоих машинах зашифрованы. Я знаю точно, что проблема связана именно с сайтом Ammyy Admin, потому что это единственный сайт, который я посещал на одном из компьютеров. Электронных сообщений на данном компьютере нет.”
После получения комментариев Softpedia сразу же связалась с Лоуренсом Адамсом (Lawrence Abrams), представителем портала Bleeping Computer, и провела тестирование для анализа заражения и выяснения, что именно не так с сайтом.“Мой компьютер был тоже заражен из-за этого сайта. Только что завершил очистку компьютера от шифратора, держитесь подальше от данного сайта!”
Судя по некоторым детектам VT, HA и по адресам на скринлоке, это не "официальная" версия цербера, а просто кто-то решил подзаработать. Результаты анализов не совпадают с теми, что я получил на переходном этапе цербера.от команды Ammyy Admin
"close_process":
["msftesql.exe","sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe","oracle.exe","ocssd.exe","dbsnmp.exe","synctime.exe","mydesktopqos.exe","agntsvc.exeisqlplussvc.exe","xfssvccon.exe","mydesktopservice.exe","ocautoupds.exe","agntsvc.exeagntsvc.exe","agntsvc.exeencsvc.exe","firefoxconfig.exe","tbirdconfig.exe","ocomm.exe","mysqld.exe","mysqld-nt.exe","mysqld-opt.exe","dbeng50.exe","sqbcoreservice.exe"]
Цербер помечает зашифрованные файлы определенным расширением. В предыдущих версиях (Цербер 2 и 3) зашифрованные файлы получали расширение .cerber2 и .cerber3, соответственно. Для этой версии зашифрованные файлы помечаются расширением состоящих из четырех символов. Это расширение из четырех символов — четвертый участок из «MachineGuid», параметра ключа реестра HKLM\Software\Microsoft\Cryptography. Например, расширение у зашифрованного файла будет AAAA, если значение параметра MachineGuid будет xxxxxxxx-xxxx-xxxx-AAAA-xxxxxxxxxxxx.
http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382
{"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d6643cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f643c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcdef3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?