Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Открыли доступ через RDP на один из офисных пк и через несколько дней при включении высветилась надпись типа-"ваши файлы зашифрованы, напишите мне" там же были несколько имэйлов, мне подсказали что можно к вам обратиться.

CollectionLog-2018.11.07-16.54.zip

Изменено пользователем asdxxz23
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Fonts\corss.exe','');
 DeleteFile('C:\Windows\Fonts\corss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Опубликовано
Результат загрузки

Файл сохранён как 181107_151506_quarantine_5be3017a8ba1d.zip

Размер файла 50711

MD5 7202128e3be0d3c455c3219c57d459cf

Файл закачан, спасибо!

 

 

CollectionLog-2018.11.07-18.27.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

Не знаю поможет или нет - В компьютере два жестких диска, на каждом стоит по win7, та винда что на диске 0 не используется, работают только в той что на первом .

frstadd.rar

Опубликовано

Расшифровки этой версии Scarab скорее всего нет. Прикрепите к следующему сообщению в одном архиве несколько зашифрованных файлов и файл C:\HOW TO RECOVER ENCRYPTED FILES.TXT.

 

Файл C:\Windows\svchost.bat Вам известен?

 

2018-10-09 22:15 - 2018-08-18 23:33 - 020462933 _____ C:\Users\admin.GLAVBUH\Downloads\pscan24.exe.[crab7765@gmx.de].crab

2018-10-09 21:48 - 2018-10-09 21:48 - 000000000 ____D C:\Users\admin.GLAVBUH\AppData\Local\tkdata

2018-10-09 21:44 - 2018-10-08 13:36 - 000000333 _____ C:\Users\admin.GLAVBUH\Desktop\1 - копия.VBS.[crab7765@gmx.de].crab

2018-10-09 21:44 - 2018-02-05 04:08 - 000864093 _____ C:\Users\admin.GLAVBUH\Desktop\mimik111.exe.[crab7765@gmx.de].crab

2018-10-09 21:44 - 2017-12-20 02:17 - 000645821 _____ C:\Users\admin.GLAVBUH\Desktop\mimik.exe.[crab7765@gmx.de].crab

С помощью вот этого "добра", которое само попало под раздачу, к Вам и проникли.

 

Пока будет только чистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2018-10-13 22:00 - 2018-10-13 22:00 - 000918946 _____ C:\Users\usr\mOfezgsMFpPbq.bmp
2018-10-13 21:28 - 2018-10-13 21:28 - 000000891 _____ C:\Users\usr\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:27 - 2018-10-13 21:27 - 000000891 _____ C:\Users\usr\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 22:00 - 000000891 _____ C:\Users\usr\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 22:00 - 000000891 _____ C:\Users\usr\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-539052516-277693242-3939536066-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-539052516-277693242-3939536066-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp] - hxxps://clients2.google.com/service/update2/crx
Task: {E28F8D4E-1D27-4DB3-8E0C-FFEDBE15F78F} - \Microsoft\Windows\Autochk\ScheduledDefrageres -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\usr:id [32]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\63073670.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\63674833.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94373791.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\63073670.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\63674833.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\94373791.sys => ""="Driver"
2017-09-08 19:49 - 2017-09-08 19:49 - 000000761 _____ () C:\Users\usr\AppData\Local\uBar.lnk
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • 3 недели спустя...
Опубликовано

Прошу прощения за тормоз с моей стороны, в течении часа сделаю всё это.

  • 3 недели спустя...
Опубликовано

Вот )) прошу еще раз прощения за то что долгий такой, хотелось бы узнать еще, можно как-нибудь сделать подобный дешифратор? Люди кому принадлежит компьютер готовы денег заплатить) только не мошенникам)

Fixlog.txt

Опубликовано

Может можно хоть что-нибудь сделать? кто-нибудь может сделать дешифратор?

Опубликовано

Увы

это тело просит 400 долларов, возможно тут есть пострадавшие от того же дела? Могли бы скинуться, видимо всё равно покупать.... или тут такое не приветствуется?

Опубликовано

Ключи будут разные для разных компьютеров. Так что смысла в общей копилке нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...