В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
OFF
Новичок
Новички
Отправлено 27 Сентябрь 2019 - 12:42
Добрый день!
С утра на сервере обнаружили, что зашифровались все данные. Все зашифрованные файлы получили дополнение в названии в виде "id-10F0CB52.[easydecrypt666@cock.li].PLUT". К сожалению архивов не было. Пожалуйста, помогите расшифровать,
Ранее был уже топик от пользователя "italon" на который отвечал модератор "thyrex". Написали, что смогли расшифровать данные. По описанию схожая проблема.
OFF
Отправлено 27 Сентябрь 2019 - 14:21
OFF
Новичок
Новички
Отправлено 27 Сентябрь 2019 - 14:33
Здравствуйте!
Порядок оформления запроса о помощи
Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.
дело в том, что офисных документов там нет. есть 4 базы субд. Записка о выкупе в виде картинки всплывающей только. попробую скрин сделать.
Здравствуйте!
Порядок оформления запроса о помощи
Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.
прикрепил два текстовых файла и файл от злоумышленников, который на рабочем столе было
virus.zip 7,05К
скачиваний 1
OFF
Новичок
Новички
Отправлено 27 Сентябрь 2019 - 15:08
Результат работы Autologger еще прикрепите.
прикрепил
CollectionLog-2019.09.27-15.05.zip 58,51К
скачиваний 1
OFF
Отправлено 27 Сентябрь 2019 - 15:47
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe');
TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe');
QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', '');
QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('C:\Windows\System32\Info.hta', '');
QuarantineFile('c:\windows\system32\wbem\123.bat', '');
DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32');
DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32');
DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32');
DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64');
DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('C:\Windows\System32\Info.hta', '64');
DeleteFile('c:\windows\system32\wbem\123.bat', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.
OFF
Новичок
Новички
Отправлено 27 Сентябрь 2019 - 15:51
Тип вымогателя Dharma (.cezar Family), расшифровки нет. Будет только лечение и очистка следов.
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe'); TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe'); QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); QuarantineFile('c:\windows\system32\wbem\123.bat', ''); DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework'); DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32'); DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); DeleteFile('c:\windows\system32\wbem\123.bat', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end.Пожалуйста, перезагрузите компьютер вручную.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
удалить следы и лечение в моем случае просто - удалением самого сервера. Вопрос именно в возможности расшифровки.
OFF
Новичок
Новички
Отправлено 28 Сентябрь 2019 - 09:39
скрипт в avz выполнил, сервер перезагрузил.
OFF
Отправлено 28 Сентябрь 2019 - 11:31
Это номер, который идентифицирует номер обращения в вирлаб. Он приходит в теме письма из вирлаба.
OFF
Отправлено 28 Сентябрь 2019 - 15:16
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.
OFF
Отправлено 28 Сентябрь 2019 - 15:44
0 пользователей, 0 гостей, 0 анонимных
