Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Помогите, пожалуйста, с дешифровкой

id-2C0F9F11 mecrypt@aol.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 9

#1 OFF   DrDop

DrDop

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 19 Июль 2019 - 04:51

Залетел шифровальщик. DrWeb.CureIT опознал его как "trojan.encoder.3953".

Дело было на сервере. Стоиn Kaspersky Endpoint Security для бизнеса - почему не защитил не знаю.

Расширение у зашифрованных файлов "id-2C0F9F11.[mecrypt@aol.com].html"

Проделал действия как в https://forum.kasper...showtopic=43640

Лог прилагаю.

Прошу помощи.

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 19 Июль 2019 - 05:50

Здравствуйте,

Если ориентироваться на расширение, то у вас какой-то новый тип шифровальщика.
На данный момент сказать сложно, если возможно будет расшифровать.

- Уточните пожалуйста ваш основной антивирус был приостановлен или выключен?
- Вам удалось понять как это произошло, взломали сервер или пользователь запустил сам вредоносное ПО?


- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


При наличие лицензии на продукты Лаборатории Касперского, выполните следующие инструкции:
https://forum.kasper...showtopic=48525


  • 0

#3 OFF   DrDop

DrDop

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 19 Июль 2019 - 06:00

Kaspersky Endpoint Security для бизнеса
Скорее всего взломали

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   225,93К   скачиваний 3
  • Прикрепленный файл  Addition.txt   49,07К   скачиваний 2

  • 0

#4 OFF   mvs

mvs

    фантомас

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPip
  • Cообщений: 1 209

Отправлено 19 Июль 2019 - 06:33

По разным причинам KES  мог не опознать шифровальщика.

Ради статистики - KSN у вас включен? 

ну и на будущее - рассмотрите вариант настройки защиты согласно статье - https://support.kaspersky.ru/14742


Сообщение отредактировал mvs: 19 Июль 2019 - 06:33

  • 0

#5 OFF   DrDop

DrDop

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 19 Июль 2019 - 08:20

 

 

Ради статистики - KSN у вас включен? 

Kaspersky оказался выключен. Запустить сейчас его нет возможности, т.к. тоже зашифрован, так что не знаю.


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 19 Июль 2019 - 08:31

Несколько небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.
  • 0
Изображение

#7 OFF   DrDop

DrDop

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 19 Июль 2019 - 10:20

Вот примеры файлов

Прикрепленные файлы


Сообщение отредактировал DrDop: 19 Июль 2019 - 10:22

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 19 Июль 2019 - 10:28

Увы, это Dharma (.cezar Family), расшифровки нет.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#9 OFF   DrDop

DrDop

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 19 Июль 2019 - 10:36

Всем спасибо за усилия и информацию.


  • 0

#10 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 20 Июль 2019 - 05:36

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных