Перейти к содержимому


Фотография
- - - - -

Поймали шифровальщик NetTool.Win32.TorJok.bxn

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 10

#1 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 11 Апрель 2019 - 15:40

Добрый день.

Поймали шифровальщик, который зашифровал почти все документы на ПК :( Предварительно всё началось после того, как пользователь открыл письмо с вложением от неизвестного отправителя.

Сканирование KVRT  - 7 троянов, скрин прилагаю,  сервер касперского зафиксировал лечение в памяти трояна MEM:Trojan.Win32.SEPEH.gen. 

 

Сканирование сборщиком логов - результат во вложении. Есть возможность прислать Вам зашифрованые файлы.

 

Какие наши дальнейшие действия по устранению заразы и реально ли будет расшифровать файлы?

 

P.S. Сканирование логером делалось на другом ПК, к которому подключен жесткий диск и в опциях указано, что надо проверять диски D и E.  Если надо было запускать на зараженной машине - то сделаем без проблем, просто пока боимся ее запускать, как бы ещё больше не навредить. 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 11 Апрель 2019 - 15:43

Здравствуйте!

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.
  • 0
Изображение

#3 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 11 Апрель 2019 - 16:53

Здравствуйте!
 

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.

 

Держите

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 12 Апрель 2019 - 08:08

"Пофиксите" в HijackThis:
O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Апрель 2019 - 11:13

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Сделано

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   30,14К   скачиваний 1
  • Прикрепленный файл  FRST.txt   184,34К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 12 Апрель 2019 - 11:23

Вымогатель Shade, расшифровки нет. Будет только очистка следов.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Апрель 2019 - 12:33

Вымогатель Shade, расшифровки нет. Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   602байт   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 12 Апрель 2019 - 13:11

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#9 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Апрель 2019 - 15:28

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Сделали.

Подскажите такой момент: какой механизм распространения этого вируса? Вот у нас на зараженном компьютере был подключен сетевой диск, которым пользуются еще несколько человек. На этом диске зашифровалась половина документов. Компьютеры пользователей проверили - вирусов нет. Есть опасность того, что вирус пошел гулять по сети как червь, или он заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Спасибо

Прикрепленные файлы

  • Прикрепленный файл  secur.txt   4,3К   скачиваний 1

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 12 Апрель 2019 - 15:31

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#11 OFF   Sergey_Ts

Sergey_Ts

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Апрель 2019 - 15:44

 

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Рекомендации после удаления вредоносного ПО

 

Принято, спасибо :)


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных