Перейти к содержанию

шифровальщик veracrypt@foxmail.com


Рекомендуемые сообщения

Николай Тименский

Добрый день.


Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. Компьютер источник данного бедствия выявили и прошлись  Kaspersky Virus Removal Tool и CureIt. После этих процедур прошлись 



Farbar Recovery Scan Tool, посмотрите логи , скажите с вирусом покончено ?

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Обратите внимание на то, что мы не можем гарантировать удачный исход касаемо расшифровки.

Необходимо последовательность логов которая указана в  инструкции «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
Николай Тименский
script ver. 2019.02.20
AVZ (с) Лаборатория Касперского, 2018, версия 5.14 от 28.06.2019
DefaultLanguage = 0419
Используется локализация на русском языке.
Сбор логов запустили в 2019.07.03-12:51:54
C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\
C:\Users\ADMINI~1\AppData\Local\Temp\
AutoLogger запущен с правами локального администратора.
Повышение привилегий успешно.
Это не сервер.
Дата последнего обновления = 2019.06.28
Текущая дата = 2019.07.03
Базы актуальны.
Система x64 битная, сейчас будет запущено выполнение стандартного скрипта №2.

script ver. 2019.02.20
AVZ (с) Лаборатория Касперского, 2018, версия 5.14 от 28.06.2019
Используется локализация на русском языке.
Второй этап сбора логов запустили в 2019.07.03-12:51:54
C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\
C:\Users\ADMINI~1\AppData\Local\Temp\
Ключи командной строки:  HiddenMode=0
Дата последнего обновления = 2019.06.28
Текущая дата = 2019.07.03
Базы актуальны.
Работа скрипта продолжится через 20 секунд...
Ключ для создания дампов при аварийном завершении программ добавлен.
Параметр для тихого создания дампов при аварийном завершении программ добавлен.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v браузер по умолчанию.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v завершилось вернув код 0
iexplore.exe завершилось вернув код 1
Сейчас будет выполнено сканирование HiJackThis fork (SZ team). Время запуска 2019.07.03-13:16:08
HijackThis завершилось вернув код 0
Сейчас будет выполнено сканирование RSIT. Время запуска 2019.07.03-13:16:20
RSIT завершилось вернув код 0
Сейчас будет выполнено сканирование Check Browsers LNK. Время запуска 2019.07.03-13:16:28
Check Browsers LNK завершилось вернув код 0
Сканирование Check Browsers LNK завершено.
Сейчас логи будут упакованы в архив. Текущее время 2019.07.03-13:16:58
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\Check_Browsers_LNK.log, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\HiJackThis.log, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\info.txt, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\log.txt, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\virusinfo_syscheck.zip, результат архивации = 0
Ключ для создания дампов при аварийном завершении программ удалён.
Параметр для тихого создания дампов при аварийном завершении программ удалён.
Ссылка на сообщение
Поделиться на другие сайты

@Николай Тименский, этот отчет не нужен (тем более его цитата).

Нужен полученный в результате работы Autologger-а архив с именем CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • TheLoveS
      От TheLoveS
      Доброе время. В апреле подхватил вирус и он зашифровал почти все файлы, нужные и не нужные.
      Сам шифровальщик удален.
      А вот если ставлю программу какую либо, то на экране появляется ярлык в виде белого значка.
      Автологгером собрал логи и прикрепил.
      Очень надеюсь на Вашу помощь. 
      ---------------------------------------------
      PS: Перепробовал все ваши утилиты для расшифровки и не одна не подошла.
    • bOOsh789
      От bOOsh789
      Добрый вечер! Прошу помощи в избавлении от шифровальщика veracrypt@foxmail.com!
      Заразился компьютер и в его папке с открытым доступов в сети все файлы зашифровались с добавлением в названии после расширения ".id-982677F7.[veracrypt@foxmail.com].adobe". Второй компьютер тоже заразился через папку с открытым доступом, в которой тоже все файлы переименовались и зашифровались.((
      Антивирус не находит ничего. Перепробовал несколько LiveCD, нашло какието файлы в системной папке, почистило. Пока распространение не происходит. Но взяв флэшкой несколько файлов на проверку, запорол еще одну машину((
       
      Буду признателен за помощ!
      А особенно за возможность раскодировать документы. Много файлов .doc .xls полегло.
      А про бэкапы подумалось только сейчас.
       
      В пристежке информация из AutoLogger.

      Вдогонку вопрос: как локализовать эту заразу? В сетке около 10 компов, заразилось два на которых были открыты папки с общим доступом. Дальше этих папок заражение не пошло. Но на каком компьютере всё началось не понятно. Пока провожу профилактику всех компьютеров. Антивирусы, к сожалению работали не на всех((

      CollectionLog-2019.06.09-20.40.zip - это файл со 2-го компьютера, который предположительно был заражен первее и является источником.CollectionLog-2019.06.09-20.40.zip
      CollectionLog-2019.06.09-21.14.zip
    • vvf.nn
      От vvf.nn
      Здравствуйте!
      Вчера по почте получил файл с расширением pdf, ничего другого не открывал. Компьютер не выключался. Сегодня заставка mouse lokker с просьбой нажать enter. Вышел из пользователя с помощью Ctrl-Alt-Del. Зашел под другим пользователем. Файлы оказались еще живыми. Поставил копирование на внешний диск. Не следил, компьютер выключился. После включения файлы на всех дисках оказались зашифрованы. В приложении файлы из подозреваемого письма, логи. Что можно сделать для расшифровки файлов?
      Переписка с владельцами шифровальщика идет с адреса veracrypt@foxmail.com, затем с  veradecrypt@gmail.com
      CollectionLog-2019.06.04-22.19.zip
      Attachments_m.dymza@maygk.ru_2019-06-03_17-53-33.zip
    • Danila_BodroFF
      От Danila_BodroFF
      Здравствуйте!
       
      Прокрался шифровальшик и выполнил свою злобную часть дела. Поразил три машины, на двух из которых было все подчитсую снесено и установлено заново, но вот на третей машине стоит ОПС BOLID и там шалофливым форматированием пользоваться нельзя. Поэтому прошу помощи в спасении системы.
       
      Фалы шифруются я так понимаю [veracrypt@foxmail.com] и именам файлов назначаются имена вида файл.расширение.id-CA9D47C4.[veracrypt@foxmail.com]
       
      К сожалению после работы Autologger и перезапуска ПК все содержимое C:\Autologger-test тоже зашифровано
       
      Что сделать для полноценной подачи логов и их рассмотрения.
       
      Спасибо!


    • Иван Саенко
      От Иван Саенко
      На win2008 R2 sp1 поймал каким-то образом шифровальщика,
      в имена файлов добавлено
      id-CCBE2A15.[veracrypt@foxmail.com].adobe
       
      во вложении логи и стандартная картинка 

      CollectionLog-2019.04.23-08.33.zip
×
×
  • Создать...