Перейти к содержанию

Шифратор .[jabber paybtc@sj.ms].Caley

Степаний Тушков

Автор Степаний Тушков,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Степаний Тушков

Степаний Тушков 0

Опубликовано
Опубликовано (изменено)

Здравствуйте, подхватили шифратор, скорее всего через RDP, резервные копии есть не все, все же хотелось надеяться на расшифровку.

CollectionLog-2020.02.03-13.35.zip

Изменено пользователем Sandor
Убрал архив с вредоносным файлом
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[FEE43F29-2422].[jabber paybtc@sj.ms].Caley', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '32');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Прикрепите также в архиве только зашифрованный файл вместе с запиской с требованием выкупа (возможно это C:\info.txt).

Ссылка на сообщение
Поделиться на другие сайты
Степаний Тушков

Степаний Тушков 0

Опубликовано
  • Автор
Опубликовано

Написал письмо на newvirus@kaspersky.com, ответа до сих пор нет, это нормально? или оно могло затеряться, тем более что письмо без темы...

Ссылка на сообщение
Поделиться на другие сайты
Степаний Тушков

Степаний Тушков 0

Опубликовано
  • Автор
Опубликовано

Лог после скрипта, файл требования и зараженный файл прикрепил. Кстате большие файлы шифрует не полностью, первые 4 мб только, дальше файлы целые, а в конце файла я так понял записывает зашифрованные данные из начала и еще что то...интересно возможно ли восстановить так БД, подменной первых 4мб...или еще как нибудь расковырять...жалко код вируса посмотреть не удалось..узнать бы его логику шифрования...

CollectionLog-2020.02.04-13.28.zip

info.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Тип вымогателя похож на Phobos и если это так, то расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
pioner007

pioner007 0

Опубликовано
Опубликовано

Словил данного зловреда. С активным касперычем 10ым. Причем папка была выкошена от файлов вся. Структура папок осталась. Слежу за данной темой и понимаю что решения нет?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

@pioner007, здравствуйте!

 

Не пишите в чужой теме, тем самым вы нарушаете правила раздела п. 2.2.

 

Создайте свою тему и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...