Перейти к содержанию

Вирус шифровальщик расширение .puma

olmer84
 Поделиться

Рекомендуемые сообщения

olmer84 Новичок

olmer84

Опубликовано
Опубликовано

Добрый день.

 

Поймал вирус шифровальщик все фото и документы на компьютере с расширением .puma

 

Приложил лог-файл. Также приложил зашифрованный файл для примера и записку с требованиями.

Подцепил скорее всего путем скачивания пиратского софта из интернета...

 

Готов предоставить дополнительную информацию по необходимости.

Заранее спасибо.

 

 

CollectionLog-2018.11.22-20.30.zip

!readme.txt

post-51857-0-94105600-1542909175_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\HZED\230128506.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','qsoweczy41c','x64');
 DeleteFile('C:\Program Files (x86)\HZED\230128506.exe','64');
 DeleteFile('C:\Users\johnr\AppData\Local\Temp\mmtm.exe','32');
 DeleteFile('C:\ProgramData\kjxfe\vfje.exe','32');
 DeleteSchedulerTask('Test Task17.job');
 DeleteSchedulerTask('nmrcxxodasgljaijouu.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
olmer84 Новичок

olmer84

Опубликовано
  • Автор
Опубликовано (изменено)

Файл сохранён как 181122_184451_quarantine_5bf6f923d9c66.zip Размер файла 420394 MD5 0684554caf19dea99daa578ba97a02e3

CollectionLog-2018.11.22-21.48.zip

Изменено пользователем olmer84
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это Stop Ransomware. Расшифровки нет. Только зачистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://hi.ru/search/?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\Users\Все пользователи\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\ProgramData\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-21 07:53 - 000000000 ____D C:\WINDOWS\SysWOW64\kusajqzi
2018-11-21 07:49 - 2018-11-22 21:41 - 000000000 ____D C:\Program Files (x86)\HZED
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\Users\Все пользователи\kjxfe
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\ProgramData\kjxfe
2018-11-21 07:48 - 2018-11-21 07:48 - 000000000 ____D C:\Users\johnr\AppData\Roaming\Microleaves
2018-11-22 00:45 - 2018-11-22 00:45 - 000000049 _____ () C:\Users\johnr\AppData\Local\script.ps1
Task: {104B5827-A97D-4E21-99E9-61A14069D4FC} - \System\SystemCheck -> No File <==== ATTENTION
Task: {4808D2A9-63D5-4520-96DD-CE62527DAA49} - \OneDrive Standalone Update Task v2 -> No File <==== ATTENTION
Task: {84F00E61-173D-4053-B137-D4E9E16CF9C9} - \OneDrive Standalone Update Task-S-1-5-21-1578095108-2166787242-3072233778-1001 -> No File <==== ATTENTION
Task: {DAF08CCB-0166-4330-88F2-C095F9B071BB} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
AlternateDataStreams: C:\Users\johnr\AppData\Local\Temp:$DATA​ [16]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
olmer84 Новичок

olmer84

Опубликовано
  • Автор
Опубликовано

Спасибо

Зачистку делать не буду т.к. будет установка ос на новый хард.

Осталось только 2 вопроса

1) Есть ли резон сохранить зашифрованные файлы на будущее, над расшифровкой мб кто работает?

2) Есть ли резон связываться с теми кто вирус подкинул? оплата и тд... ?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Об этом знают только в самом вирлабе. В разделе здесь отвечают простые пользователи.

2. На свой страх и риск.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@olmer84, + просьба сделайте экспорт этого ключа реестра

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

заархивируйте его и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Если лицензия на антивирус есть, попробуйте таки создать запрос, прикрепив к нему сообщение вымогателей + пару - шифрованный и незашифрованный - одного и того же файла

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • escadron
      Вирус-шифровальщик из далекого 2015 года
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...