Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Ищите тот, где по всем папкам разбросан текстовый (или htm) файл с требованием выкупа.Можно ли установить источник заражения?
Весьма призрачная. Следите на сайте The No More Ransom Projectкакова вероятность, что спустя некоторое время появится расшифровка?
Сначала следует все же определить компьютер-источник. Записки с требованием выкупа могут иметь вид FILES ENCRYPTED.txt или Info.htaчто необходимо выполнить что бы почистить все следы
Соберите на этом компьютере CollectionLog.Снял несколько логов netstat
В этом причина. Собирать следует из консоли, а не из терминальной сессии.?IsTermSession3?]RDP-Tcp#0
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
StopService('WindowsDefender');
QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
QuarantineFile('C:\Program Files\MPK\MPK.exe', '');
QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-608832C7.[decrypthelp@qq.com].arrow', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\1task.exe', '');
QuarantineFile('C:\Users\AMDService\AppData\Roaming\Info.hta', '');
QuarantineFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
QuarantineFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '');
QuarantineFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '');
QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '');
QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('c:\windows\font\taskhost.exe', '');
QuarantineFile('C:\Windows\Fonts\csrss.exe', '');
QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
QuarantineFile('C:\Windows\System32\1task.exe', '');
QuarantineFile('C:\Windows\System32\Info.hta', '');
QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
DeleteFile('C:\Program Files\MPK\MPK.exe', '64');
DeleteFile('c:\programdata\microsoft\drm\smss.exe', '');
DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-608832C7.[decrypthelp@qq.com].arrow', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\1task.exe', '');
DeleteFile('C:\Users\AMDService\AppData\Roaming\Info.hta', '64');
DeleteFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
DeleteFile('C:\Users\AMDService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '32');
DeleteFile('C:\Users\Оксана\AppData\Roaming\1task.exe', '64');
DeleteFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '32');
DeleteFile('C:\Users\Оксана\AppData\Roaming\Info.hta', '64');
DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1task.exe', '64');
DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('c:\windows\font\taskhost.exe');
DeleteFile('C:\Windows\Fonts\csrss.exe', '');
DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
DeleteFile('C:\Windows\System32\1task.exe', '64');
DeleteFile('C:\Windows\System32\Info.hta', '64');
DeleteService('spoolsrvrs');
DeleteService('werlsfks');
DeleteService('WindowsDefender');
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\windows\inf\netlibrariestip');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\AMDService\AppData\Roaming\Info.hta');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1765058703-2337265044-871141043-1002\Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1765058703-2337265044-871141043-1002\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Оксана\AppData\Roaming\Info.hta');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
end.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files\mpk\mpk.dll', '');
QuarantineFile('C:\Windows\Fonts\csrss.exe', '');
DeleteFile('C:\Program Files\mpk\mpk.dll', '32');
DeleteFile('C:\Windows\Fonts\csrss.exe', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Подозрительное и вредоносное - не одно и то же. Пожалуйста, самостоятельно не делайте никаких операций.нашел что то подозрительное
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-b---------
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
bl D49322679A3DB8330631C7869435454E 13921
zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\INFO.HTA
zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
bl 092FEA0C92F16600198DE0E5D2516D31 708608
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\WEBISIDA.BROWSER.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\WEBISIDA.BROWSER.EXE
apply
zoo %SystemDrive%\USERS\ОКСАНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
bl 11CEBF8D2BF9D8280A7F39B7082D32AC 94720
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\HP\AUTCH.EXE
bl 43A09C049AF7EFFFED4724B17D9421B5 40448
addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.MSIL.Sidaweb.i [Kaspersky] 7
zoo %SystemDrive%\PROGRAMDATA\IOSTREAM.EXE
bl 148D13CEB38AF8135431E1C2A90D5264 1975808
addsgn A4BC2472546A4C72C78C277224E512653D8AD1F60BF60F7D7242C9ACD0EDBD393AD1C05785558D492BE8BCA2ED182141D2AB8A210532BA2C2D7727EFC78F6657 8 Trojan.Win32.Generic [Kaspersky] 7
chklst
delvir
regt 35
czoo
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?