Перейти к содержанию

Шифровальщик файлов doc, xls без изменения имени

kcpr.krsk
 Share Подписчики 0

Рекомендуемые сообщения

kcpr.krsk

kcpr.krsk 0

Опубликовано
Опубликовано

Пользователь получил подозрительное письмо с вложенным архивом. Архив сохранил на диск, проверил Касперским (KES 10 mr3, базы свежие). Касперский вирусы не обнаружил. После этого открыл архив на просмотр -  внутри файл с двойным расширением *.doc.hta.  Разархивировать и запускать файл не стал, архив удалил.  Но позже на машине и в сети еще на одной машине и двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.

На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   

На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)

Выкладываю логи с одной машины.

По серверам делать отдельные темы?

 

CollectionLog-2017.01.18-20.48.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

1 компьютер - 1 тема.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
kcpr.krsk

kcpr.krsk 0

Опубликовано
  • Автор
Опубликовано (изменено)

Можно сразу делать запрос через корпоративный личный кабинет?

Addition.txt

FRST.txt

Изменено пользователем kcpr.krsk
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Делайте. Часть данных можете вытащить из теневых копий, но данные копируйте на флешку.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\Users\kcpr57\AppData\Roaming\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
2017-01-18 12:44 - 2017-01-18 13:10 - 33621560 _____ C:\Users\kcpr57\AppData\Roaming\675088532
File: C:\Program Files\Talker.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • nel
      Шифровальшик GFANXf9LM
      От nel
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы. После обнаружения, что файлы зашифрованы, диск переставил в другую машину. Ко всем файлам добавляется расширение «GFANXf9LM». В архиве прилагаю три зашифрованных файла, файл с описанием и один оригинальный файл (до шифрования).
      Спасибо за внимание.
      GFANXf9LM.7z
    • nsgdima
      Взломали RDP и зашифровали большую часть дисков
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
    • Nepodarok
      Шифровальщик .kaspersky
      От Nepodarok
      Добрый день. Я так понял, что через RDP зашифровали данные с названием .kaspersky.  После перезагрузки, windows не загрузился, поэтому пришлось снять жесткий и логи снимать с другого компьютера.
      Addition_30-12-2022 00.45.32.txt FRST_30-12-2022 00.45.32.txt архив.zip
    • Galfest
      Поймали шифровальщика.
      От Galfest
      Добрый день!
      Сегодня (27.12.2022) при входе в компьютер обнаружил что большинство файлов на рабочем столе и в системе имеют новый файловый формат (QUIETPLACE).
      Антивирус Windows принудительно погашен (не мной) и файлы, с новым расширением не открываются в прежних форматах (только в txt). Наткнулся на тему на Вашем форуме, от людей с схожей проблемой, но без решения. Хотел уточнить, есть ли решение данной проблемы на текущий момент? 
      Файлы скана системы и пример файла с новым расширением упаковал в архив и прикрепляю в данной теме. 
    • Артём Симонов
      Шифровальщик с форматом [casecrosu@eml.cc].MMXXII
      От Артём Симонов
      Доброго времени, отработал шифровальщик-вымогатель. Предположительно взломали через RDP, зашифровались все документы, базы 1С и файлы бэкапов Veeam.
       
       Во вложении файл с требованием и зашифрованный файл.
      file.zip
×
×
  • Создать...