Добрый день! Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал. В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки. Двух дневные поиски на просторах интернета не дали ничего((( Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..
Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там(( Прилагаю скриншот с требованием и 1 файл зашифрованный
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply
deltmp
;-------------------------------------------------------------
czoo
QUIT
возможно, запуск был с рабочего стола. обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир. обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16 C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Цитата
Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE Имя файла SVCHОST.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Обнаруженные сигнатуры Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
www.virustotal.com 2018-08-16 Symantec Ransom.Cryptolocker ESET-NOD32 a variant of Win32/Filecoder.FV Kaspersky HEUR:Trojan.Win32.Generic BitDefender Generic.Ransom.GlobeImposter.89B2F8C4 Microsoft Trojan:Win32/Fuerboos.C!cl Avast Win32:Evo-gen [Susp]
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Процесс 32-х битный File_Id 5AC25E98E200 Linker 12.0 Размер 54784 байт Создан 29.10.2018 в 05:26:36 Изменен 28.07.2018 в 20:06:49
TimeStamp 02.04.2018 в 16:47:20 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
Доп. информация на момент обновления списка pid = 3736 NT AUTHORITY\СИСТЕМА CmdLine "C:\Users\Администратор\Desktop\svchоst.exe" Процесс создан 05:28:57 [2018.10.29] С момента создания 05:16:05 CPU 0,00% CPU (1 core) 0,03% parentid = 5676 SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448 MD5 3D56A0E02178AC6936C7945710844FEA
Образы EXE и DLL SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP