Перейти к содержанию

Шифратор szem@tutanota.com

Maxim Shadrin
 Поделиться

Рекомендуемые сообщения

Maxim Shadrin

Maxim Shadrin

Опубликовано
Опубликовано

Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 

Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE

Помогите пожалуйста! 

 

readme exe .zip

Desktop.zip

Maxim Shadrin

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Прикрепляю логи Kaspersky Virus Removal Tool и файл вируса
Боюсь запускать Autologger т.к. после перезагрузки ПК может не запустится
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносы

post-49906-0-71582800-1527154643_thumb.jpg

report_20180524_162435.klr.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Updater');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','');
 QuarantineFile('C:\Windows\Media\Long\certsvc.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\Media\Long\certsvc.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','64');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.hta','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.hta','64');
 DeleteFile('C:\Windows\wincare.exe','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1621\Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSystemCare');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1103\Software\Microsoft\Windows\CurrentVersion\Run','MediaSVC');
 DeleteFile('C:\Intel\updater.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
  • Обратите внимание: перезагрузкe компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Maxim Shadrin

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ KLAN-8123905764Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
mms.exe
lsm.exe
mms_0.exe
mms_1.exe

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=59390&p=880638

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

Прикрепили новые логи 


У зараженного ПК был доступ к сетевой папке, в этой папке все документы зашифрованы 

CollectionLog-2018.05.25-18.59.zip

post-49906-0-13989800-1527246462_thumb.jpg

Изменено пользователем Maxim Shadrin
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Local\Temp\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\ProgramData\README.hta
2018-05-24 13:00 - 2018-05-24 13:00 - 000009027 _____ C:\Users\Video\Desktop\README.hta
C:\Windows\Inf\axperflib
C:\Windows\Inf\NETLIBRARIESTIP
Task: {D625F6CA-3A86-428E-B8D1-65CB512E3972} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {65D7BC90-FE64-4248-9489-AB86C3CA2C3A} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {10597CF2-0D11-4F8F-8020-2CA3AE71D49B} - \KMSAutoNet -> No File <==== ATTENTION
Task: {1E336BDF-482E-4B54-B5CF-F26DC5DA3BED} - \Adobe Reader -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера выполните вручную.
Maxim Shadrin

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепили

Fixlog.txt

Изменено пользователем Maxim Shadrin
thyrex

thyrex

Опубликовано
Опубликовано

Теперь по второй машине

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Task: {3C4726CD-6939-4B46-A591-74503040E8F8} - \Adobe Reader -> No File <==== ATTENTION
Task: {66152B46-6E9A-4FCB-8026-BA238F365795} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Maxim Shadrin

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Дешифратор работает, но некоторые файлы остаются зашифрованными 

Прикрепили лог дешифровки с одной папки

CryptConsoleDecrypter log.txt

thyrex

thyrex

Опубликовано
Опубликовано

Это значит, что они зашифрованы другим ключом для другого ID. Вы не первый, кто с этим сталкивается.

Надо найти все до единого файлы README.hta, запаковать в один архив и прикрепить к следующему сообщению.

Если пострадало несколько компьютеров, значит искать и на них.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • elec3on
      Шифровальщик heineken@tuta.io...
      Автор elec3on
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем heineken@tuta.io_D0B2D0B5D0B4D0BED0BCD0BED181D182D18C2E786C73
      после @tuta.io значения разные.
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      CollectionLog-2018.06.09-10.28.zip
    • Monmak25
      Вирус-шифровальщик excaliburarthur@protonmail.com
      Автор Monmak25
      Всем доброго времени суток!
       
      Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).
       
      Второй email в сообщении: symbyosis@protonmail.com.
       
      Проверил KVRT - чисто.
      Запустил FRST и Autologger - собрал нужные логи.
       
      Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.
       
      Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.
       
       
      Прошу помощи с расшифровкой.
      406.rar
    • ivavasi
      Шифровальщик helps@tutanota.com 28.05.18
      Автор ivavasi
      Вирус шифровал с удаленного компьютера по RDP
      Зашифровал файлы  на сервере  в сетевых папках которые были доступны данному пользователю
      Доступа к зараженному компьютеру не имею.
      Пользователя заблокировал.
       
      Прикрепляю архив с логами и второй с парой зашифрованных файлов и readme.hta
       
      Возможно ли расшифровать файлы.
       
      С Уважением Иван.
       
       
      CollectionLog-2018.05.28-14.12.zip
      Шифровальщик helps@tutanota.com.zip
    • Monmak25
      Вирус-шифровальщик zeman@tutanota.de
      Автор Monmak25
      Всем доброго времени суток!

      Являюсь приходящим админом в одной организации.
      От них неожиданно поступил звонок со словами "Всё пропало" (в обоих смыслах).
       
      Запустил FRST и KVRT - результаты сканирования и проверки собрал в архив.
      KVRT обнаружил в папке "C;\11" два вируса в двух файлах:
      HEUR:Trojan-Ransom.Win32.Generic - в уже зашифрованном файле "zeman@tutanota.de_..."
      HEUR:Trojan.Win32.Generic - в файле "systemA.exe"
      Файл "DontSleep.exe" также присутствовал в папке, но KVRT не нашел в нем вируса.
       
      AutoLogger не создает log-файлы из-за подключения через RDP.
       
      Возможно ли подобрать ключ без этих лог-файлов?
       
      Также добавил в архив зашифрованный и тот же незашифрованный файл и How decrypt files.hta.
       
       
      Прошу помощи с расшифровкой.
      406.rar
    • Vites509
      Шифровальщик xser@tutanota.com
      Автор Vites509
      Добрый день! Зашифровался еще 1 ПК. С лицензией KIS. Лог автологгера приложить не имеется возможности, т.к. система не запускается. Прикладываю файл Readmi и несколько зашифрованных файлов.
×
×
  • Создать...