• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто зашифрованные данные. Определить вирус не получается.

Статус
В этой теме нельзя размещать новые ответы.

Sergazi

Новый пользователь
Сообщения
14
Реакции
0
Добрый день, вирус зашифровал файлы, касперский как обычно ничего не нашел. Определить вирус не удается. имеется только текстовый документ и практически все зашифрованные файлы имеют одинаковые названия. Помогите расшифровать пожалуйста.
 

Вложения

  • CollectionLog-2017.07.31-19.14.zip
    110.6 KB · Просмотры: 2
Здравствуйте!

вирус зашифровал файлы
Зашифровал или упаковал в архив с паролем?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.
 
Зашифровал. после скрипта что сделать? архив вам отправить
 
Текстовый файл с требованием выкупа (если есть) и пару зашифрованных документов упакуйте и прикрепите к следующему сообщению.
+
Повторите свежий CollectionLog.
 
Вот файлы в архиве две папки оригинал и зашифрованные.
 

Вложения

  • README.txt
    103 байт · Просмотры: 2
  • Файлы.zip
    40.2 KB · Просмотры: 2
  • CollectionLog-2017.08.01-11.44.zip
    109.4 KB · Просмотры: 1
оригинал и зашифрованные
Размер файлов из этой пары должен совпадать. Предположу, что это Cryakl и расшифровать не удастся.

По первым логам видно было использование известной "дыры".
Поэтому смените важные пароли.
 
Восстановить файлы не удастся я вас правильно понял. Систему установили 15 дней тому назад. вирус проник через одного пользователя. зашифровал файлы только на локальных дисках. Диск с ОС остался не тронут. Только файлы Usera через кого он проник. Возможность "Дыры" исключаю так как в данном случае был бы сменен пароль "Администратора". все пароли не изменены. Файлы имеют разный обьем. я вам скинул одну и ту же папку до шифровки и после шифровки.
Что посоветуете???
 
Возможность "Дыры" исключаю так как в данном случае был бы сменен пароль "Администратора"
Не обязательно. В описанном случае злоумышленник получает доступ к системе с правами администратора.

Что посоветуете?
Дождитесь вердикта @thyrex
 
Да, это Cryakl. Зашли по RDP и запустили шифрование.
 
Не удасться что либо сделать?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу