Перейти к содержанию

Вирус переименовал расширение в aes

dnpavluk
 Поделиться

Рекомендуемые сообщения

dnpavluk

dnpavluk

Опубликовано
Опубликовано

Добрый вечер!

Сегодня утром обнаружил, что вирус зашифровал файлы и добавил им новое расширение .aes

Файлы аутлука удалось восстановить простым удалением нового расширения. Остальные не удается. Зашифровал не только документы Офиса, но и картинки и видео.

Кто-нибудь может с этим помочь?

Оставили даже Инструкцию, куда обращаться с деньгами за расшифровкой....

Instruction.txt

dnpavluk

dnpavluk

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

26.12.17 утром, пришел на работу и увидел, что поймал шифровальщика. Все (или почти все) офисные и не только файлы добавились расширением .aes. Также были зашифрованы все бэкапы.

Файлы аутлука удалось просто вернуть к жизни удалением второго расширения. Остальные файлы - испорчены.

Кто сможет помочь расшифровать?

CollectionLog-2017.12.27-12.54.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Записка (сообщение) с требованием выкупа есть? Если да, упакуйте вместе с парой поврежденных документов и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Не дает загрузить зашифрованные файлы

Упакуйте их архиватором.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-12-25 23:23 - 2017-12-26 04:34 - 000000251 _____ C:\Users\urist\Downloads\Instruction.txt
2017-12-25 23:23 - 2017-12-26 04:34 - 000000251 _____ C:\Users\urist\Documents\Instruction.txt
2017-12-25 22:49 - 2017-12-26 04:25 - 000000251 _____ C:\Users\TEMP\Instruction.txt
2017-12-25 22:49 - 2017-12-26 04:25 - 000000251 _____ C:\Users\TEMP\Downloads\Instruction.txt
2017-12-25 22:49 - 2017-12-26 04:25 - 000000251 _____ C:\Users\TEMP\Documents\Instruction.txt
2017-12-25 22:49 - 2017-12-26 04:25 - 000000251 _____ C:\Users\TEMP\Desktop\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:25 - 000000251 _____ C:\Users\sale\Downloads\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:25 - 000000251 _____ C:\Users\sale\Documents\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:25 - 000000251 _____ C:\Users\sale\Desktop\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\Public\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\Public\Downloads\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\Public\Documents\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pos\Downloads\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pos\Documents\Instruction.txt
2017-12-25 22:48 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pos\Desktop\Instruction.txt
2017-12-25 22:47 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pavlukov.ARTSPORT.000\Instruction.txt
2017-12-25 22:47 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pavlukov.ARTSPORT.000\Downloads\Instruction.txt
2017-12-25 22:47 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pavlukov.ARTSPORT.000\Documents\Instruction.txt
2017-12-25 22:47 - 2017-12-26 04:24 - 000000251 _____ C:\Users\pavlukov.ARTSPORT.000\Desktop\Instruction.txt
2017-12-25 22:34 - 2017-12-25 23:23 - 000000780 _____ C:\Users\urist\clubis-accounting.log.aes
2017-12-25 22:15 - 2017-12-26 02:21 - 000000251 _____ C:\Users\pavlukov.ARTSPORT\Downloads\Instruction.txt
2017-12-25 22:13 - 2017-12-25 22:17 - 000000251 _____ C:\Users\pavlukov.ARTSPORT\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\pavlukov\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\pavlukov\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\pavlukov\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\kassa\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\kassa\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\kassa\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\ekaterina\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\ekaterina\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\ekaterina\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default User\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default User\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\Default User\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\d.padisov\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\d.padisov\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\d.padisov\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\alla\Downloads\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\alla\Documents\Instruction.txt
2017-12-25 21:48 - 2017-12-26 00:50 - 000000251 _____ C:\Users\alla\Desktop\Instruction.txt
2017-12-25 21:48 - 2017-12-25 21:54 - 000000251 _____ C:\Users\Default\Instruction.txt
2017-12-25 21:43 - 2017-12-26 04:34 - 000000251 _____ C:\Users\Все пользователи\Instruction.txt
2017-12-25 21:43 - 2017-12-26 04:34 - 000000251 _____ C:\ProgramData\Instruction.txt
2017-12-25 21:43 - 2017-12-26 00:37 - 000000251 _____ C:\Users\Instruction.txt
2017-12-25 21:43 - 2017-12-26 00:37 - 000000251 _____ C:\Users\admin\Downloads\Instruction.txt
2017-12-25 21:43 - 2017-12-26 00:37 - 000000251 _____ C:\Users\admin\Documents\Instruction.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Тип вымогателя Vortex, к сожалению, пока нет возможности расшифровать.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

thyrex

thyrex

Опубликовано
Опубликовано

Это не Vortex. Шифрование AES-256 в режиме СВС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • XromoV1K
      [РЕШЕНО] Переименовались файлы в службах.
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • -AdviZzzor-
      [РЕШЕНО] Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
×
×
  • Создать...