• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифроватор veracrypt@foxmail.com

Статус
В этой теме нельзя размещать новые ответы.

mstk

Новый пользователь
Сообщения
2
Реакции
0
Добрый день!

Сегодня столкнулся с данным шифроватором veracrypt@foxmail.com. Зашифровано почти все.
Файлы вложил согласно инструкции, надеюсь на вашу помощь!

Заранее спасибо!
 

Вложения

  • CollectionLog-2019.05.13-21.12.zip
    39.6 KB · Просмотры: 1
  • virus-veracrypt.zip
    28.3 KB · Просмотры: 1
Доброго времени суток. Зашифровано Dharma (.cezar Family), для него пока нет дешифровщика. Если есть возможность восстановить данные из бекапа, воспользуйтесь ею.
 
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '');
 QuarantineFile('C:\Windows\System32\1Vera.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '32');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Windows\System32\1Vera.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Спасибо, будем пробовать восстанавливаться из бэкапов.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу