Решена Прошу о помощи с шифратором backspace@riseup.net_245

Статус
В этой теме нельзя размещать новые ответы.

Paradoks

Новый пользователь
Сообщения
5
Реакции
0
Добрый день. Меня зовут Павел, занимаю должность системного администратора. Столкнулся с проблемой, сотрудница подхватила вирус шифратор backspace@riseup.net_245. Поиски дешифратора по конкретному трояну были безуспешными. Наткнулся на тему у Вас на форуме. https://safezone.cc/threads/backspace-riseup-net-449.22850/ На данный момент у сотрудницы огромное количество зашифрованых документов xls, docx, pdf, архивов rar zip. Прилагаю логи. Надеюсь на скорый ответ. С уважением к Вам, Аввакумов П.А.
 

Вложения

Последнее редактирование:
Выполните скрипт в AVZ

Код:
begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

QuarantineFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','');

DeleteFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','32');

DeleteFile('C:\Windows\system32\Tasks\gxrxbh','64');

DeleteFile('C:\Windows\Tasks\gxrxbh.job','64');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.


Выполните скрипт в AVZ

Код:
begin

CreateQurantineArchive('c:\quarantine.zip');

end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи
 
Последнее редактирование:
  • Like
Реакции: akok
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?
Восхитительный банер вымогателя (Негр, страшная рожа и текст про пиратов). Загружается как картинка в диспетчере рисунков при старте. Очень поэтично... прикрепить?

Скрипт выполнил, логи прикрепил.
 

Вложения

Если нет похабщины крепите в jpg. Если захотите убрать картинку, то перенесите ее из папки
Код:
C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp
 
По нашим данным никто дешифратором не поделился.
 
Бекапы? Лицензии drweb нет случаем?
 
Нет, корпоративный Кашмарский.

Триального доктора веба не хватит?Есть возможность приобрести лицензию. Но есть ли вероятность, что их служба расшифровки даст результат?
 
Но есть ли вероятность, что их служба расшифровки даст результат?
Результат (полноценный) в утилитах Касперского или Доктора появляется в случае, если нужный дешифратор каким-либо образом попал в вирлаб
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу