Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] шифровальщик LDPR

шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 16

#1 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 17:44

Зашифрованы файлы и программы кроме системных.

Приложил лог

приложил сообщение

приложил зашифрованый файл и он же не зашифрованный

Прикрепленные файлы


  • 0

#2 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 19:10

Здравствуйте,

Шифровальщик похоже на новый вариант Dharma (семейство CrySiS) на данный момент неизвестны удачные случая расшифровки.

Если хотите, очистить остатки, то предоставьте следующий лог:


- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщите, пожалуйста если у Вас сохранился сам шифровальщик (вредоносное ПО которое привело к шифрованию файлов, предположительно notepad.exe)?


  • 0

#3 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 19:32

RansomwareFileDecryptor 1.0.1668 MUI - определил как CRYSIS, но ни одного файла расшифровать не смог


не уверен сохранился ли. Где его искать? KVRT нашел только трояна в памяти.

Прикрепленные файлы

  • Прикрепленный файл  FarBar.rar   48,3К   скачиваний 1

  • 0

#4 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 20:06

На сервере обнаружены остатки от антивируса Avast, воспользуйтесь утилитой avast remover для их удаления.

U0 aswVmm; no ImagePath

Попробуйте уточнить у пользователя nata, что она запускала перед появлением проблемы? Как вариант письмо в почте, либо какую-то скачанную программу и т.п. В некоторых случаях это результат взлома сервера, если он дступен из вне и использовался легкий к подбору пароль.

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    2019-04-21 17:51 - 2019-04-21 17:51 - 000000208 _____ D:\FILES ENCRYPTED.txt
    File: D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

  • 0

#5 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 20:40

С авастом только завтра смогу, я сейчас в удаленке.


Сервер извне напрямую недоступен, но похоже что Вы правы относительно взлома. Пользователь nata не используется (по крайней мере не должен), но его рабочий каталог заражен (у остальных пользователей - нет)


к тому же время в воскресенье вечером, бюджетная контора

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,4К   скачиваний 1

  • 0

#6 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 21:08

проверьте пожалуйста следующий файл на независимой системе https://www.virustotal.com

D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

  • 0

#7 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 21:27

по поводу файла - undetected

это hta-файл я ненароком запустил, уведомление о заражении увидел

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   866байт   скачиваний 1

  • 0

#8 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 21:39

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 


  • 0

#9 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 22:15

Однако много лопатила программа

Прикрепленные файлы


  • 0
  • Улыбнуло x 1
  • Показать

#10 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 22:35

Однако много лопатила программа

Речь о шифровальщике?

Вам знакома следующее приложение?
 

%SystemDrive%\USERS\IRINA\APPDATA\LOCAL\CMSCLIENTNG\CMSCLIENTNG.EXE

В логах шифровальщика не нашел.


P.S. В большенстве случаев при запросе на расшифровку в тех. поддержку Лаборатории Касперского без шифровальщика не будет положителен.


  • 0

#11 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 22:39

Образ автозапуска и сохранение файла неожиданно для меня долго делался.

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами


  • 0

#12 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 22:49

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Хорошо, видимо у стороннего антивируса (Symantec) на него - ложное срабатывание.

Я воспользовался случаем (квотой на запрос) создал запрос по вашей проблеме в тех. поддержку в Лабораторию Касперского (ID #INC000010384105). Однако гарантировать какой-то положительный исход не могу.
P.S. Ответ может занять около 2-10 дней в зависимости от загруженности тех. поддержки. Если у Вас есть лицензия на продукты различных антивирусных вендоров то пробуйте создать запрос сами.
  • 0

#13 OFF   jeanjean

jeanjean

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 22 Апрель 2019 - 23:13

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleeping...yptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Прикрепленные файлы


  • 0

#14 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 22 Апрель 2019 - 23:31

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleeping...yptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Если вам это ip-адрес не знаком, то попробуйте также обратиться в полицию, в случае если злоумышлинник забыл скрыть свой ip-адрес или зачистить логи подключений (как они обыно делают).

P.S. Обычно когда ловят злоумышлинников у них не остается других возможностей как идти на сделку с правосудием.


  • 0

#15 ON   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 23 Апрель 2019 - 21:14

Пришел ответ касаемо инцидента (ID #INC000010384105) к сожалению на данный момент помочь не могут.
  • 0





Темы с аналогичными тегами: шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных