Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Цитата |
---|
Роман Литвинюк написал: Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо. |
Цитата | ||
---|---|---|
santy написал:
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot) C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[ характерная для него записка о выкупе: C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis, восстановление документов возможно только из архивных копий. ------------- + обратите внимание на рекомендации по защите ваших серверов, и примите меры защиты, иначе, шифрование может повториться в скором времени. |
Цитата |
---|
Роман Литвинюк написал: Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё. |
Цитата |
---|
Роман Литвинюк написал: Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. |
Цитата |
---|
2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot 2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover 2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore 2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No] Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures] Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0] Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0] |
Цитата |
---|
Роман Литвинюк написал: Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (: |
Цитата |
---|
Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже. |