Перейти к содержанию

Рекомендуемые сообщения

  Добрый день.

На Windows Server 2012 R2 подцепили шифровальщик.

Все файлы получили расширение .ransom

Доступными средствами расшифровать не получилось.

Прошу ознакомиться с приложенными файлами, может кто даст совет по расшифровке.

1. Лог CollectionLog.
2. Public.zip - Файлы из C:\Users\Public
3. Para.zip - два файла. До вируса и после. Может быть поможет в расшифровке.

CollectionLog-2017.11.15-15.16.zip

Para.zip

Public.zip

Ссылка на сообщение
Поделиться на другие сайты

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\Run: [Message-2017] C:\Users\Public\README_TO_DECRYPT_FILES.html
 

+ запустите эту утилиту.

Ссылка на сообщение
Поделиться на другие сайты
1. Файл успешно загружен
 
MD5 карантина: 68D0DA28C68BE5C1F37DBEF7397BF6AA
Размер файла: 120764629 байт
 
2. Сделано
 
3. Консоль зависает на различных файлах при проверке, но при нажатии ctrl+c выдает сообщение, что все файлы проверены.
    Запускал три раза и все три на разных файлах зависала консоль(

 

1. Файл успешно загружен
 
MD5 карантина: 68D0DA28C68BE5C1F37DBEF7397BF6AA
Размер файла: 120764629 байт
 
2. Сделано
 
3. Консоль зависает на различных файлах при проверке, но при нажатии ctrl+c выдает сообщение, что все файлы проверены.
    Запускал три раза и все три на разных файлах зависала консоль

Третий пункт выполнен, все файлы были успешно проверены на вирустотал.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Запускал три раза и все три на разных файлах зависала консоль(
она не зависает, а ждёт ответа от сервера. Просто надо было подождать немного больше.
Ссылка на сообщение
Поделиться на другие сайты

По логу плохого ничего не видно. По поводу рассшифровки при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Шанс что восстановят есть.

 

 

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Спасибо.

Скрипт сказал, что часто используемые уязвимости не обнаружены.

Однако, есть подозрения, что где то есть бэкдор. Например, если верить АВЗ (поиск открытых портов), то на 3127 висит процесс system.exe, который определяется там же как i-worm.MyDoom.

Ссылка на сообщение
Поделиться на другие сайты

 

 


который определяется там же как i-worm.MyDoom.
скорее всего не определяется. а подозревается. При этом это не больше чем подозрение. Но если хотите можно дополнительно ещё провериться.

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

C:\USERS\DIMA\DESKTOP\RANSOM.EXE

как понимаю вы удалили вручную? Тогда и

C:\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK

удалите.

 

Проверьте эти файлы на virustotal

 

C:\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

+ вы фикс в HijackThis из поста №4 выполняли? Похоже не отработало.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    BREG
    ;---------command-block---------
    bl E9A0E3D4C7D5DC09E607D8FF17993ECA 1442
    zoo %SystemDrive%\USERS\PUBLIC\README_TO_DECRYPT_FILES.HTML
    delall %SystemDrive%\USERS\PUBLIC\README_TO_DECRYPT_FILES.HTML
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Мы вручную не удаляли.

 

Отчет по вирустотал: https://www.virustotal.com/#/file/85154bc62f23b664b3a4b3fb7a32cd26149f191da0de039e781d95fb47a25135/detection

 

Фикс выполняли.

 

Скрипт выполнен, компьютер перезагрузился.

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    BREG
    dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS
    bl 3DB6820768386501654B6C53DFA8171A 635
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE
    bl 3DB6820768386501654B6C53DFA8171A 635
    zoo %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK
    delall %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK
    apply
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

сделайте свежий образ автозапуска.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...