Перейти к содержанию

Рекомендуемые сообщения

Вчера около 13:00 по МСК у меня зашифровались файлы на компьютере! 

 

После этого пк перезагрузился и рабочий стол перестал работать, вообще О_о ( судя потом, я понял что там должен был быть баннер ) 

пришлось аварийно выключить ноут и откатить систему, после этого, я проверил пк на вирусы антивирусной утилитой AdwCleaner а потом Dr Weber Cureit - он нашел только...(прикладываю скрин)  

 

Зашифрованные файлы имеют розширение .WNCRY 

 

В каждой папке на диску D:\   иметься 2 файла:  

@Please_Read_Me@.txt  ;   @WanaDecryptor@.exe (также был зашифрован и рабочий стол, но на диску С:\ только он, насколько пока мне это известно) 

 

P.S. Никаких обновлений я пока не устанавливал, и портов не закрывал, жду следующих указаний от вас .....????

post-45649-0-56273600-1494699932_thumb.png

CollectionLog-2017.05.13-20.11.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', '');
 QuarantineFileF('C:\ProgramData\njurjtuvi143', '*', true, '', 0, 0);
 DeleteFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SidebarExecute" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\njurjtuvi143', '*', true);
 DeleteDirectory('C:\ProgramData\njurjtuvi143');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) "Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O4 - MSConfig\startupfolder: C:^Users^life^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Cloud Mail.Ru.lnk - C:\Users\life\AppData\Local\Mail.Ru\Cloud\Cloud.exe -noballoon (2017/03/27) (file missing)
O4 - MSConfig\startupreg: [GUDelayStartup] C:\Program Files (x86)\Glary Utilities 5\StartupManager.exe -delayrun (file missing) (HKCU) (2016/12/11)
O8 - Extra context menu item: Скачать все ссылки с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)
O8 - Extra context menu item: Скачать с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O22 - Task (Queued): \Lenovo\Lenovo Customer Feedback Program 64 35 - C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\Windows\ehome\ehrec /StartRecording (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\Windows\ehome\mcupdate -crl -hms -pscn 15 (file missing)

 

4) файл

C:\Windows\System32\drivers\etc\hosts 

заархивируйте и прикрепите к сообщению.

 

5) Очень рекомендую пересмотреть список рассашаренных папок. У вас мусорная корзина расшарена  :santa: 

 

6) Поставьте обновление KB4019263  
И в будущем не забывайте своевременно обновляться.

 

7) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте regist =) 

 

 

1) Провел процедуру VirusDetector 

Результаты проверки онлайн-сервисом VirusDetector здесь: https://virusinfo.info/virusdetector/report.php?md5=CD74E4ADBED8B5111710315D1379177F

 

Далее выполнил ваш скрипт в АВЗ 

 

2) Но вот что странно, файл quarantine.zip пуст! ... 

 

3) Пофиксував данные строки в HikackThis. Все прелестно ( ^ _ ^ ) 

 

4) файл hosts прикладываю =)

 

5) аааааа:) Корзину почистил  :grean:

 

6) Обновление KB4019263 поставил, на счет обновлений, то постараюсь обновляться чаще ;-)

 

6) FRST64 скачал, файлы прикладываю ( ^  ^ )

hosts.zip

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    2017-05-12 18:04 - 2017-05-12 18:04 - 00000933 _____ C:\Users\life\Desktop\@Please_Read_Me@.txt
    Task: {DCC2EA70-54C0-4DC2-8FAB-481370086946} - \JetBoost_AutoUpdate -> No File <==== ATTENTION
    ShortcutWithArgument: C:\Users\life\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://umerisa.ru/?utm_source=startlink03&utm_content=8d6bcae84b562519687209f26205934a&utm_term=C781BEAF8DBE29ADC6B26604678823BE&utm_d=20160611"
    AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:bQHvG5Y469Yi3zAuKJFvzSA [2382]
    AlternateDataStreams: C:\Program Files\Common Files\System:zMX6GiGtqQzil2wn1KOYySn [2288]
    AlternateDataStreams: C:\ProgramData\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058]
    AlternateDataStreams: C:\ProgramData\Microsoft:74xlGycBNR31f55kVGeNfn [2376]
    AlternateDataStreams: C:\Users\life\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [480]
    AlternateDataStreams: C:\Users\life\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
    AlternateDataStreams: C:\Users\life\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:74xlGycBNR31f55kVGeNfn [2376]
    AlternateDataStreams: C:\Users\☼☼☼\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [2322]
    AlternateDataStreams: C:\Users\☼☼☼\Cookies:U3aSv884AQBHDAOWRQibYf [2356]
    AlternateDataStreams: C:\Users\☼☼☼\Local Settings:mJSklDKbwtgix5plh7gt [2154]
    AlternateDataStreams: C:\Users\☼☼☼\AppData\Local:mJSklDKbwtgix5plh7gt [2154]
    AlternateDataStreams: C:\Users\☼☼☼\AppData\Local\Application Data:mJSklDKbwtgix5plh7gt [2154]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий.
 
Больше помочь нечем, расшифровки пока нет.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо :)

 

 

После выполнения данного скрипта...., уязвимости некоторые все же нашлись:-/ думаю это сейчас есть главное, что нужно сделать - это закрыть их! Еще к этому, я закрыл порт 445, как утверждали эксперты на сайте comss.ru видимо он тоже связан с атакой -_-

 

 

Выражаю большую благодарность ВАМ за помощь, было очень приятно с вами работать =)

 

Удачи вам в будущем ( ^ _ ~ ) 

Изменено пользователем Soft
поправил форматирование
Ссылка на сообщение
Поделиться на другие сайты

Для надежности можете поставить ещё отдельно это обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 поставить. В теории оно должно входить в то, что дал вам выше, но всё-таки.

А если закрыли порт, то должны быть в курсе, то у вас могут быть проблемы с сетевыми устройствами (типа принтеров) или обменов файлов по сети. Так что по мне обновлений достачно.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • regist
      От regist
      На форуме зарегистрировались мошенники, которые предлагают перевести им деньги, а взамен обещают выслать вам дешифратор.
      Не ведитесь на это. Это развод! Никакого дешифратора у них нет.
      Если вам предлагают купить дешифратор, то просьба сообщите об этом модератору.
    • RomiruS
      От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • OlegTS
      От OlegTS
      Комп накрыло еще прошлой весной, когда была общая шумиха. По рекомендациям с данного ресурса поборол шифровальщик. Но файлы он мне все порубил начисто. Думал, что все-таки выложат дешифратор, но увы мне... Систему не переустанавливал. Осталась лишь совсем маленькая надежда, когда почитал после нового года, что у некоторых смогли восстановить файлы.
      CollectionLog-2018.02.12-22.05.zip
      FRST.txt
      Addition.txt
      Shortcut.txt
    • Александр Жуков
      От Александр Жуков
      Доброго времени суток. Случилась вот такая беда - словили вирус-вымогатель на сервер c ОС Windows Server 2012R2 Standart.
      Зашифровались все данные, включая файлы форматов zip, rar, bak, mdf. 
      На сервер никто из пользователей не заходил. Подключились удаленно.
       
      У всех зараженных файлов поменялось расширение на JAVA и к имени добавилось "A0AED89E.decrypex@tuta.io".
       
      Может кто-то сталкивался с таким типом шифровки? 
       
      P.S. Вышел на диалог с вымогателями. Изначально просили 0,4 BTC (биткоина), после уговоров снизили цену до 1500$, что всё равно много.
      log28.11.17.txt
      Romexis - Сброс настроек - v2017-01-25.pdf.id-A0AED89E.decrypex@tuta.io.rar
      FILES ENCRYPTED.txt

      Check_Browsers_LNK.log
      HiJackThis.log
    • mcko
      От mcko
      Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.
      Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.
      Files.zip
      CollectionLog-2017.11.28-10.06.zip
×
×
  • Создать...