Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1658 След.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
судя по логам, этот файл шифратор 1swlynru.exe
и он есть в автозапуске:
O4 - Startup other users: C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1swlynru.exe    ->    (PE EXE)
перед тем как создать образ автозапуска, проверьте, нет ли его в процессах.
если есть, то данный процесс необходимо завершить, и затем приступить к созданию образ автозапуска.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Александр,
к сожалению это Crysis, и расшифровать файлы не получится, можем помочь только очистить систему
нужен так же образ автозапуска системы, кроме прочих логов.

[QUOTE]если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);[/QUOTE]
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
судя по новым логам проверок, скрипт был выполнен успешно, и MBR #1 с руткитом: Rootkit.MBR.Zegost.G
успешно очищен.

ESET: Количество обнаружений: 0
uVS: MBR #1: ПРОВЕРЕННЫЙ загрузчик
TDSSkiller: 08:57:36.0803 0x0228 Detected object count: 0
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
лог от tdsskiller (текстовый файл) должен быть в корне диска
по проблеме:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
fixmbr MBR#1 [111,8GB]
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска
+
сделайте проверку в tdsskiller+лог
+
сделайте проверку загрузочных секторов в дисках C и D сканером ESET +лог проверки
+
добавьте лог выполнения скрипта в uVS
(это файл дата_время_log.txt в папке, откуда вы запускаете uVS
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
сделайте еще проверку в tdsskiller, при этом ничего не удаляйте, и добавьте лог проверки
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
судя по проверке MBR #1 на ВирусТотал
Rootkit.MBR.Zegost.G
https://www.virustotal.com/gui/file/66cccf246f35a6f8ebf0715d9c77684da62a3c78ce47e1c­422d487df0237de27/detection
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
добавьте образ автозапуска системы,
+
добавьте лог журнала обнаружения угроз
Шифровирусы шумной толпою
Спустя почти полтора года операторы [B]GandCrab Ransomware[/B] прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

Заполняя на свободное место ("денежное место пустым не бывает"), оставшееся после прекращения масштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

С тех пор они стали одним из доминирующих, если не самым доминирующим, участников операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/
поговорить о uVS, Carberp, планете Земля
Turla, также известная как Snake, является печально известной шпионской группой, известной своими сложными вредоносными программами. Чтобы запутать обнаружение, его операторы недавно начали использовать скрипты PowerShell, которые обеспечивают прямую загрузку в память и выполнение исполняемых файлов и библиотек вредоносных программ. Это позволяет им обходить обнаружение, которое может сработать, когда вредоносный исполняемый файл сбрасывается на диск.

https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/
Непрерывное сканирование файловой системы.
вы можете так же исключить процессы из проверки, которым вы доверяете,
Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1658 След.