Перейти к содержимому


Фотография
- - - - -

Шифратор .[jabber paybtc@sj.ms].Caley

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   Степаний Тушков

Степаний Тушков

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 03 Февраль 2020 - 13:48

Здравствуйте, подхватили шифратор, скорее всего через RDP, резервные копии есть не все, все же хотелось надеяться на расшифровку.

Прикрепленные файлы


Сообщение отредактировал Sandor: 03 Февраль 2020 - 14:02
Убрал архив с вредоносным файлом

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 03 Февраль 2020 - 14:06

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[FEE43F29-2422].[jabber paybtc@sj.ms].Caley', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '32');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.


Прикрепите также в архиве только зашифрованный файл вместе с запиской с требованием выкупа (возможно это C:\info.txt).
  • 0
Изображение

#3 OFF   Степаний Тушков

Степаний Тушков

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 06 Февраль 2020 - 15:40

Написал письмо на newvirus@kaspersky.com, ответа до сих пор нет, это нормально? или оно могло затеряться, тем более что письмо без темы...


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 06 Февраль 2020 - 15:51

Повторный лог и архив с файлами можете делать, не дожидаясь ответа.
  • 0
Изображение

#5 OFF   Степаний Тушков

Степаний Тушков

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 06 Февраль 2020 - 16:45

Лог после скрипта, файл требования и зараженный файл прикрепил. Кстате большие файлы шифрует не полностью, первые 4 мб только, дальше файлы целые, а в конце файла я так понял записывает зашифрованные данные из начала и еще что то...интересно возможно ли восстановить так БД, подменной первых 4мб...или еще как нибудь расковырять...жалко код вируса посмотреть не удалось..узнать бы его логику шифрования...

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 06 Февраль 2020 - 17:32

Тип вымогателя похож на Phobos и если это так, то расшифровки нет.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных