Перейти к содержимому


Фотография
- - - - -

Поймали шифровальщик .Gust

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   Dmitriy2018

Dmitriy2018

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 09 Июль 2018 - 09:51

Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика..

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 09 Июль 2018 - 10:56

Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли.

Пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.
  • 0
Изображение

#3 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 185

Отправлено 09 Июль 2018 - 10:57

1) Логи сделаны в терминальной сессии, сделайте их из консоли.

2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы.


  • 0

#4 OFF   Dmitriy2018

Dmitriy2018

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 09 Июль 2018 - 14:25

Логи переснял

Прикрепленные файлы


  • 0

#5 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 09 Июль 2018 - 14:57

Это GlobeImposter 2.0, расшифровки нет.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
 QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '');
 QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.





Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#6 OFF   Ulvi

Ulvi

    Постоялец

  • Участники
  • Pip
  • Cообщений: 28

Отправлено 15 Июль 2018 - 23:19

добрый день.

 

Какие то новости по шифровальщику уже есть? Можно ли восстановить файлы?


  • 0

#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 478

Награды

           

Отправлено 15 Июль 2018 - 23:26

Ulvi,

 

1. Нагло врываться в чужую тему не стоит

2. Расшифровки ни одной из версий GlobeImposter 2 нет 


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных