Перейти к содержанию

Файлы зашифрованы veracrypt@foxmail.com

Danila_BodroFF
 Share Подписчики 2

Рекомендуемые сообщения

Danila_BodroFF

Danila_BodroFF 0

Опубликовано
Опубликовано

Здравствуйте!

 

Прокрался шифровальшик и выполнил свою злобную часть дела. Поразил три машины, на двух из которых было все подчитсую снесено и установлено заново, но вот на третей машине стоит ОПС BOLID и там шалофливым форматированием пользоваться нельзя. Поэтому прошу помощи в спасении системы.

 

Фалы шифруются я так понимаю [veracrypt@foxmail.com] и именам файлов назначаются имена вида файл.расширение.id-CA9D47C4.[veracrypt@foxmail.com]

 

К сожалению после работы Autologger и перезапуска ПК все содержимое C:\Autologger-test тоже зашифровано

 

Что сделать для полноценной подачи логов и их рассмотрения.

 

Спасибо!

post-54009-0-59219000-1556117649_thumb.png

post-54009-0-05906500-1556117650_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Нужен не report.log, а архив с именем CollectionLog.

Если в обычном режиме не получится, сделайте в безопасном.

Ссылка на сообщение
Поделиться на другие сайты
Danila_BodroFF

Danila_BodroFF 0

Опубликовано
  • Автор
Опубликовано

Спасибо!

 

Вся загвоздка была в том что я после работы автологгера перезагружался также в безопасный режим. Логи собрались только при запуске в обычном режиме, и все же перед этим пробежался KVRT который посносил модули CRYSISa попрятанные в разных местах (файл 1Vera.exe)

 

Логи во вложении!

CollectionLog-2019.04.25-07.00.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\1Vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\1Vera.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1Vera.exe', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1Vera.exe', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1Vera.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Danila_BodroFF

Danila_BodroFF 0

Опубликовано
  • Автор
Опубликовано
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


 
[KLAN-9964061567]
Входящие
x
profile_mask2.png
newvirus@kaspersky.com
16:47 (0 минут назад)
 
 
cleardot.gif
cleardot.gif
кому: я
cleardot.gif
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Info.hta

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

CollectionLog-2019.04.25-16.57.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Danila_BodroFF

Danila_BodroFF 0

Опубликовано
  • Автор
Опубликовано

После сканирования было предложено очистить найденные угрозы. пока что оставил как есть. или стоит почистить?

post-54009-0-61956500-1556410543_thumb.png

AdwCleanerS00.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Danila_BodroFF

Danila_BodroFF 0

Опубликовано
  • Автор
Опубликовано

 

отчеты повторные AdwCleaner

Отчёт об очистке содержит в имени файла символ [Cxx], а не [sxx].

 

 

 

Может в настройках что?

post-54009-0-00712800-1556567284_thumb.png

post-54009-0-91283000-1556567288_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Ярлыки запуска программ придется пересоздать вручную.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • TheLoveS
      Помогите пожалуйста расшифровать файлы от .id-148318A8.[veracrypt@foxmail.com].adobe
      От TheLoveS
      Доброе время. В апреле подхватил вирус и он зашифровал почти все файлы, нужные и не нужные.
      Сам шифровальщик удален.
      А вот если ставлю программу какую либо, то на экране появляется ярлык в виде белого значка.
      Автологгером собрал логи и прикрепил.
      Очень надеюсь на Вашу помощь. 
      ---------------------------------------------
      PS: Перепробовал все ваши утилиты для расшифровки и не одна не подошла.
    • Николай Тименский
      шифровальщик veracrypt@foxmail.com
      От Николай Тименский
      Добрый день.

      Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. Компьютер источник данного бедствия выявили и прошлись  Kaspersky Virus Removal Tool и CureIt. После этих процедур прошлись 


      Farbar Recovery Scan Tool, посмотрите логи , скажите с вирусом покончено ?
      FRST.txt
      Addition.txt
      Shortcut.txt
    • bOOsh789
      Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe
      От bOOsh789
      Добрый вечер! Прошу помощи в избавлении от шифровальщика veracrypt@foxmail.com!
      Заразился компьютер и в его папке с открытым доступов в сети все файлы зашифровались с добавлением в названии после расширения ".id-982677F7.[veracrypt@foxmail.com].adobe". Второй компьютер тоже заразился через папку с открытым доступом, в которой тоже все файлы переименовались и зашифровались.((
      Антивирус не находит ничего. Перепробовал несколько LiveCD, нашло какието файлы в системной папке, почистило. Пока распространение не происходит. Но взяв флэшкой несколько файлов на проверку, запорол еще одну машину((
       
      Буду признателен за помощ!
      А особенно за возможность раскодировать документы. Много файлов .doc .xls полегло.
      А про бэкапы подумалось только сейчас.
       
      В пристежке информация из AutoLogger.

      Вдогонку вопрос: как локализовать эту заразу? В сетке около 10 компов, заразилось два на которых были открыты папки с общим доступом. Дальше этих папок заражение не пошло. Но на каком компьютере всё началось не понятно. Пока провожу профилактику всех компьютеров. Антивирусы, к сожалению работали не на всех((

      CollectionLog-2019.06.09-20.40.zip - это файл со 2-го компьютера, который предположительно был заражен первее и является источником.CollectionLog-2019.06.09-20.40.zip
      CollectionLog-2019.06.09-21.14.zip
    • vvf.nn
      [РЕШЕНО] veracrypt@foxmail.com зашифровал все диски и просит денег за расшифровку
      От vvf.nn
      Здравствуйте!
      Вчера по почте получил файл с расширением pdf, ничего другого не открывал. Компьютер не выключался. Сегодня заставка mouse lokker с просьбой нажать enter. Вышел из пользователя с помощью Ctrl-Alt-Del. Зашел под другим пользователем. Файлы оказались еще живыми. Поставил копирование на внешний диск. Не следил, компьютер выключился. После включения файлы на всех дисках оказались зашифрованы. В приложении файлы из подозреваемого письма, логи. Что можно сделать для расшифровки файлов?
      Переписка с владельцами шифровальщика идет с адреса veracrypt@foxmail.com, затем с  veradecrypt@gmail.com
      CollectionLog-2019.06.04-22.19.zip
      Attachments_m.dymza@maygk.ru_2019-06-03_17-53-33.zip
    • Иван Саенко
      Вирус-шифровальщик veracrypt@foxmail.com
      От Иван Саенко
      На win2008 R2 sp1 поймал каким-то образом шифровальщика,
      в имена файлов добавлено
      id-CCBE2A15.[veracrypt@foxmail.com].adobe
       
      во вложении логи и стандартная картинка 

      CollectionLog-2019.04.23-08.33.zip
×
×
  • Создать...