Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Шифровальщик [veracrypt@foxmail.com].adobe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 18

#1 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 12 Апрель 2019 - 16:41

Добрый день!

Вчера пользователь поймал (скорее всего работая по RDP) шифровальщик veracrypt@foxmail.com с расширением adobe.

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку на системнике....

Удалились все теневые копии с компа и зашифровалась файлопомойка в сети...куда у него был доступ.

Есть ли какие нибудь варианты расшифровки?? 

Спасибо!


  • 0

#2 OFF   kmscom

kmscom

    Консультант по продуктам ЛК

  • Модераторы
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 522

Отправлено 12 Апрель 2019 - 17:29

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • 0
MSI-Neo

#3 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 14 Апрель 2019 - 19:29

Добрый день!

Извиняюсь за то что не правильно создал тему изначально, и долго отвечал. Были причины, объекты находятся на большом расстоянии не могу быть в разных местах одновременно. Только добрался до объекта, на котором подхватили шифровальщик. Учетка админа не взломана, зашел под паролем админа, теневые копии вроди бы целые, пока не стал восстанавливать, что бы ничего не удалить со связками шифровальщика, но вся инфа (как юзера и по шаре с его доступом) зашифрованы!!


Вот что требуют!

Прикрепленные файлы


Сообщение отредактировал Иван Орфиняк: 14 Апрель 2019 - 18:50

  • 0

#4 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 14 Апрель 2019 - 20:03

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Windows\system32\wermgr.exe','');
 DeleteService('werlsfks');
 DeleteService('spoolsrvrs');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3164600441-2448485190-3150565919-1001\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\user\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\user\AppData\Roaming\Info.hta','32');
 DeleteSchedulerTask('GoogleUpdateTaskMashine');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32');
 DeleteSchedulerTask('{507C4590-1643-4B35-929F-48FF02BE8BF8}');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
4. Процитируйте ответ робота
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
O4 - Startup other users: C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk    ->    C:\Users\ASPNET\AppData\Roaming\Punto\lsass.exe
O4 - Startup other users: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EPop.exe.lnk.id-6EBC3EA5.[veracrypt@foxmail.com].adobe
O4 - Startup other users: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
 
Сделайте новые логи Автологгером. 
 

  • 0

#5 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 14 Апрель 2019 - 22:02

Цитата от робота:

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
wermgr.exe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
hxxps://forum[.]kasperskyclub[.]ru/index.php?showtopic=62528

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ


лог HiJackThis


лог HiJackThis

Прикрепленные файлы


  • 0

#6 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 14 Апрель 2019 - 22:33

Вас просили сделать новые логи Автологгером, а не с помощью HiJackThis. Пожалуйста, внимательно читайте что Вас просят сделать. 


  • 0

#7 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 14 Апрель 2019 - 23:19

Скинул....

Прикрепленные файлы


  • 0

#8 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 15 Апрель 2019 - 12:11

Что не правильный лог скинул?


  • 0

#9 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 15 Апрель 2019 - 12:21

После основной работы отвечу
  • 0

#10 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 15 Апрель 2019 - 17:45

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

  • 0

#11 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 15 Апрель 2019 - 20:10

Появляется в процессе 

Прикрепленные файлы


  • 0

#12 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 15 Апрель 2019 - 20:23

В безопасном режиме тоже самое?


  • 0

#13 OFF   Иван Орфиняк

Иван Орфиняк

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 15 Апрель 2019 - 21:21

Пока не знаю, запустил, пытаюсь.....начало одинаковое...


В безопасном чуть дольше, но ошибка та же....


Что дальше? 

Прикрепленные файлы


  • 0

#14 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 410

Отправлено 15 Апрель 2019 - 21:22

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • 3munStB.png

    • 0

    #15 OFF   Иван Орфиняк

    Иван Орфиняк

      Новичок

    • Новички
    • Cообщений: 10

    Отправлено 15 Апрель 2019 - 21:40

    Сделал. Только в безопасном режиме...

    Прикрепленные файлы

    • Прикрепленный файл  Addition.txt   40,44К   скачиваний 0
    • Прикрепленный файл  FRST.txt   54,6К   скачиваний 2

    • 0




    Количество пользователей, читающих эту тему: 0

    0 пользователей, 0 гостей, 0 анонимных