Перейти к содержанию

Рекомендуемые сообщения

Всем доброго времени суток!

 

Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).

 

Второй email в сообщении: symbyosis@protonmail.com.

 

Проверил KVRT - чисто.

Запустил FRST и Autologger - собрал нужные логи.

 

Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.

 

Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.

 

 

Прошу помощи с расшифровкой.

406.rar

Ссылка на сообщение
Поделиться на другие сайты
C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe

 

+ любой из этих файлов заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку на скачивание мне в ЛИЧНЫЕ СООБЩЕНИЯ

Ссылка на сообщение
Поделиться на другие сайты

Присланный архив - это майнер.

 

А вообще компьютер не первый раз подвергается атаке шифраторов. Значит с элементарной информационной безопасностью совсем беда. Пароль от RDP смените для начала.

В этот раз расшифровки не будет, увы. Подобрать ключ уже невозможно. А там их тем более уже два, в зависимости от размера шифруемого файла.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe');
 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\system.exe','');
 TerminateProcessByName('C:\Users\Admin\AppData\Local\Temp\system.exe');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\system32\drivers\49170864.sys','64');
 DeleteFile('C:\Windows\system32\drivers\E3A0A32A.sys','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLIBOLIBGLIBO');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','POBELGBMLOBELGB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLEBOLMBGLEBO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

По поводу "Значит с элементарной информационной безопасностью совсем беда." - пароли всех учетных записей и порт для RDP на маршрутизаторе меняются регулярно. За три предыдущие года не было не одного заражения.

Поэтому не надо учить меня делать мою работу. Если сотрудник открывает любые письма без оглядки на безопасность компьютера и локальной сети, я не собираюсь стоять у него за спиной и бить по рукам каждый раз, когда он соберется сделать глупость - это не входит в мои должностные обязанности.

 

По поводу "В этот раз расшифровки не будет, увы." - какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Получить еле живую операционную систему с кучей зашифрованных файлов.

Ссылка на сообщение
Поделиться на другие сайты

Заражение через открытие ссылки (или вложения) в данном случае как раз и не было. Если я пишу про RDP, значит, для этого есть основания.

Или может Вы сумеете мне рассказать, как может пропасть с Рабочего стола временный файл с ключами для шифрования при условии, что он не удаляется и не отсылается злодеям?

Даже если он и шифруется, то как по Вашему злодеи его расшифруют не имея ключей, которые генерируются сразу после запуска?

 

какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Вы в названии раздела, куда обратились, видите фразу "Помощь в расшифровке"?
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • serg12345
      От serg12345
      Подхватили вирус и всё зашифровано. Есть возможность помочь в этом? 
    • sysmgv113
      От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • jlexa2008
      От jlexa2008
      Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)
       
      файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com
      описание вымогателей зашифровал сам себя прочитать его невозможно
       
      во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)
      пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)

      проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)
      CollectionLog-2020.01.27-10.56.zip
    • Роман933
      От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • doneld
      От doneld
      Добрый день, поймал шифровальщик veracrypt@foxmail.com.
      Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.
×
×
  • Создать...