Перейти к содержимому


Фотография
- - - - -

Зашифровались данные

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 17

#1 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 27 Сентябрь 2019 - 12:42

Добрый день!

С утра на сервере обнаружили, что зашифровались все данные. Все зашифрованные файлы получили дополнение в названии в виде "id-10F0CB52.[easydecrypt666@cock.li].PLUT". К сожалению архивов не было. Пожалуйста, помогите расшифровать,

Ранее был уже топик от пользователя "italon" на который отвечал модератор "thyrex". Написали, что смогли расшифровать данные. По описанию схожая проблема. 

 


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 27 Сентябрь 2019 - 14:21

Здравствуйте!

Порядок оформления запроса о помощи

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.
  • 0
Изображение

#3 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 27 Сентябрь 2019 - 14:33

Здравствуйте!

Порядок оформления запроса о помощи

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.

дело в том, что офисных документов там нет. есть 4 базы субд. Записка о выкупе в виде картинки всплывающей только. попробую скрин сделать.


Здравствуйте!

Порядок оформления запроса о помощи

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.

прикрепил два текстовых файла и файл от злоумышленников, который на рабочем столе было

Прикрепленные файлы

  • Прикрепленный файл  virus.zip   7,05К   скачиваний 1

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 27 Сентябрь 2019 - 14:39

Результат работы Autologger еще прикрепите.
  • 0
Изображение

#5 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 27 Сентябрь 2019 - 15:08

Результат работы Autologger еще прикрепите.

прикрепил

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 27 Сентябрь 2019 - 15:47

Тип вымогателя Dharma (.cezar Family), расшифровки нет. Будет только лечение и очистка следов.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('c:\windows\system32\wbem\123.bat', '');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFile('c:\windows\system32\wbem\123.bat', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.




Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#7 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 27 Сентябрь 2019 - 15:51

Тип вымогателя Dharma (.cezar Family), расшифровки нет. Будет только лечение и очистка следов.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('c:\windows\system32\wbem\123.bat', '');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFile('c:\windows\system32\wbem\123.bat', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.




Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

удалить следы и лечение в моем случае просто - удалением самого сервера. Вопрос именно в возможности расшифровки.


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 27 Сентябрь 2019 - 15:53

Не цитируйте всё предыдущее сообщение, пожалуйста.
  • 0
Изображение

#9 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 28 Сентябрь 2019 - 09:39

скрипт в avz выполнил, сервер перезагрузил.




Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

номер KL - это номер лицензии или что?

 


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 28 Сентябрь 2019 - 11:31

Это номер, который идентифицирует номер обращения в вирлаб. Он приходит в теме письма из вирлаба.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 28 Сентябрь 2019 - 11:56

Это номер, который идентифицирует номер обращения в вирлаб. Он приходит в теме письма из вирлаба.

я оформлял заявку через личный кабинет на касперском. там присудили номер INC000010825016 - его отправлять?


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 28 Сентябрь 2019 - 15:16

Нет. В письме из вирлаба должен быть номер KLAN, в ответ на отправленный вами карантин.

Не дожидаясь этого ответа, вы можете

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.


  • 0
Изображение

#13 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 28 Сентябрь 2019 - 15:27

 

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 922

Отправлено 28 Сентябрь 2019 - 15:44

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#15 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 08:36

в итоге оплатили некую сумму и прислали дешифровку.... скопировал нужные файлы, проверил с помощью всех доступных антивирусов и перенес на новую машину. старую просто удалил


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных