Перейти к содержимому


Фотография
- - - - -

Шифровщик. Файлы. Формат *.damage.

шифровщик damage

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 28

#1 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 18:01

Приветствую!

 

Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage 

Очень много фажных документов. Утилиты с сайта не помогли. 

Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта.

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 18:34

Образцы шифрованных файлов (лучше файлы doc или docx) выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 18:48

Спасибо за оперативность.

 

Вот ссылка на файлы формата doc и docx

https://yadi.sk/d/HV46sE8o3EM3Dw

https://yadi.sk/d/f7fz6P-F3EM38t

 

Отчёты прикреплены к сообщению.

Прикрепленные файлы

  • Прикрепленный файл  FRST.zip   20,19К   скачиваний 3

Сообщение отредактировал Alekskey: 21 Февраль 2017 - 18:51

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 19:31

Сколько компьютеров по сети имеют доступ к данному?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 19:50

Он используется, как сервер в Клубе. 

Порядка 15 машин в локальной сети. 5 удалённо.


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 19:58

Скорее всего машина пострадала по сети. Потому как здесь нет намека на сообщение вымогателей, а потому трудно соотнести с каким-то семейством. В конце файлов что-то похожее на ключ, причем визуально одинаковый. Нужно тело вируса пробовать искать
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 20:14

Пардон, я не приложил сообщение которое появилось в папках. 

Файл во вложении. 

 

Прикрепленные файлы


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 22:03

К сожалению, пока не помогло и это идентификации. Отправил вопрос иностранным вирусоборцам
 
Вопросы:
1. Вы из Санкт-Петербурга или это оттуда был вход?

Error: (02/21/2017 06:20:43 PM) (Source: TermDD) (EventID: 56) (User: )
Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.
IP-адрес клиента: 188.134.70.228.

Error: (02/21/2017 05:48:17 PM) (Source: TermDD) (EventID: 56) (User: )
Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.
IP-адрес клиента: 188.134.70.228.


2. Учетная запись C:\Users\Администратор.TPSRV010 Вам известна?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 23:23

Да, из Питера. IP 188.134.70.228  это нормальный адрес. Адрес центрального сервера.

Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 23:26

Администратор (S-1-5-21-4290617266-3126799162-502184550-500 - Administrator - Enabled) => C:\Users\Администратор.TPSRV010.000

 

Ну значит из нее и работали. Попробуйте сделать логи из под этой учетки. В том числе и лог FRST.txt 


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 23:33

К сожалению, под этой учётной записью не получается зайти. После входа сразу выбрасывает на окно авторизации. 


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 21 Февраль 2017 - 23:44

Скачайте https://t.co/m2SQQZ84Xpи запустите от имени Администратора по правой кнорке мыши.
Выберите путь для сканирования C:\Users\Администратор.TPSRV010.000
В окне Option отметьте все доступные элементы, в oкне FileType выберите HTML
Нажмите Make List, заархивируйте полученный файл, выложите на Яндекс диск и пришлите ссылку
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 21 Февраль 2017 - 23:57

Вот ссылка. Просканировал 3 папки с именем Администратор. 

 

https://yadi.sk/d/NH7IPk-S3EMbiC


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 662

Награды

           

Отправлено 22 Февраль 2017 - 00:11

Теперь просканируйте C:\Users\Администратор.TPSRV010\AppData

Visual Studio 2010 устанавливали когда-нибудь на этом компьютере?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   Alekskey

Alekskey

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Февраль 2017 - 05:38

Вот ссылка https://yadi.sk/d/w2rvP39H3EMq4K

Да, Visual Studio 2010 установлена аж в 2014 году.


  • 0





Темы с аналогичными тегами: шифровщик, damage

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных