файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

Пред. 1 ... 66 67 68 69 70 ... 72 След.
майнер удален, по поводу RMS - решайте, если не нужен, то удалим скриптом.
возможно через него и был получен доступ к вашему серверу с последующим шифрованием.

Цитата
Полное имя                  C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
Имя файла                   RUTSERV.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
www.virustotal.com          2017-06-16
Kaspersky                   not-a-virus:RemoteAdmin.Win32.Agent.lr
BitDefender                 Gen:Variant.Application.Graftor.154269
DrWeb                       Tool.RemoteControl.10
ESET-NOD32                  a variant of Win32/RemoteAdmin.RemoteUtilities.D potentially unsafe
                           

по расшифровке не поможем, проверьте, возможно теневые копии остались.
Давайте удалим, всё равно ничего не работает((
Появилась проблема - не даёт по удалёнке подключиться к серверу пользователям
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
del %SystemDrive%\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\MEMSHELL.EXE
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\LOOP@MOZILLA.ORG.XPI
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?
http://www.shadowexplorer.com/

ShadowExplorer позволяет просматривать теневые копий, созданных Windows.
Цитата
Владислав Фета написал:
Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?

при наличие лицензии на антивирус ESET вы можете написать в техническую поддержку support@esetnod32.ru
ваше обращение будет принято, даже если на текущий момент нет расшифровки.
понятно, что и антивирусная лаборатория будет работать над дешифратором в том случае, если есть пакет обращений от пострадавших лицензионных пользователей.
пока не будет найдено решение, или получен вывод, что для данного шифратора нет решения по расшифровке без получения приватных ключей.
Цитата
RP55 RP55 написал:
http://www.shadowexplorer.com/

ShadowExplorer позволяет просматривать теневые копий, созданных Windows.
+
еще вариант восстановления документов из теневых копий (без этой полезной утилиты ShadowExplorer)
http://www.outsidethebox.ms/9960/#versions

хотя есть большая вероятность, что теневые копии были удалены шифратором
Как я понял - теневые копии и восстановление системы - это из одной оперы. К сожалению, на диске D система восстановления Windows была отключена - поэтому вариант только обращаться с письмом в службу поддержки. Как раз сейчас оформляем корпоративную лицензию на NOD32 - как показала практика, Avira, которая стояла до этого, ничего не уберегла((
да, теневые копии по умолчанию включаются при установке системы только на системном диске,
но и большинство шифраторов умеет отключить защиту диска и удалить теневые копии при наличии прав администратора у пользователя, под которым был запущен шифратор.
Я бы попробовал программы для восстановления данных - само собой всё не восстановите - но часть данных восстановить вполне реально.
Ведь в процессе работы файлы постоянно копируются\перемещаются\удаляются и какая то  часть вполне подлежит восстановлению.
Пред. 1 ... 66 67 68 69 70 ... 72 След.
Читают тему (гостей: 3)