Перейти к содержанию

Тоже словил dalneken@tutanota.de

CandyA
 Поделиться

Рекомендуемые сообщения

CandyA

CandyA

Опубликовано
Опубликовано

Доброго времени!

 

17 марта утром прошло шифрование файлов.

Kaspersky Virus Removal Tool ничего не нашел.

Логи Farbar Recovery Scan Tool, подпись шифратора и зашифрованный файл прилагаю

Readme.txt

FRST.txt

Addition.txt

CDR.7z

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, результат тот же, CryptConsole 3 и расшифровки нет.

Система под переустановку или будем чистить?

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

RDP Wrapper Library

WinZip 24.0

Об установленных программах удаленного доступа Radmin, Remote Viewer, TeamViewer вам известно? Если нет, тоже удалите.

 

Затем

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {08c409d4-f4e0-11e7-a293-408d5cca77c2} - 华为手机助手安装向导.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {1a04b8c5-9d05-11e7-9448-408d5cca77c2} - F:\startme.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {6ac415c0-7592-11e7-b38f-806e6f6e6963} - E:\SETUP.EXE
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {889f5e9e-35cb-11ea-acc6-408d5cca77c2} - E:\SISetup.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {aeba33f8-1474-11e8-a917-408d5cca77c2} - 华为手机助手安装向导.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043b0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043c0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec204416-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049c2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049d2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049e5-57f3-11e8-a340-408d5cca77c2} - G:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ee05fe3e-b7b9-11e8-a50b-408d5cca77c2} - F:\Setup.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2020-03-17] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\LocalLow\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\AppData\Readme.txt
2020-03-17 07:35 - 2020-03-17 07:35 - 000000177 _____ C:\Users\Public\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\Users\Все пользователи\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\ProgramData\Readme.txt
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
AlternateDataStreams: C:\ProgramData\TEMP:79EA65FB [350]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

CandyA

CandyA

Опубликовано
  • Автор
Опубликовано

Удалить все RDP'шные проги пока не удалось (нет деинсталляторов) вернусь к этому в понедельник. пока фиксанул так.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Стас Мяхар
      Поймали шифровальщик cryptconsole 3
      Автор Стас Мяхар
      Добрый день, поймали вот такой шифровальщик. Так понимаю дешифровать нельзя. Снял отчет frsom. Логи прилагаю
      frstlog64.rar
      CollectionLog-2018.09.03-12.56.zip
    • VladimirZZZ
      Шифровальщик от lelouchlamperouge@tutanota.com , MonkeyD.Luffy@keemail.me
      Автор VladimirZZZ
      Здравствуйте.
      Похоже что зашли на сервер по RDP.
      Есть их IP.
      Зашифровано всё, в том числе и бэкапы. 
      Shadowcopy тоже отключили.
      Имена файлов имеют вид 6465736B746F702E696E69 без расширения
      CollectionLog-2018.08.14-11.33.zip
      FRST.zip
      README.txt
    • artofart
      Зашифровало файлы, имя файла без расширения
      Автор artofart
      Добрый день! зашифровало файлы.
       
          Почты которые для связи   :
              Tailung@protonmail.ru         lelouchlamperouge@keemail.me CollectionLog-2018.08.21-14.41.zip
    • Радомир
      Шифровальщик от TaiLung@protonmail.com
      Автор Радомир
      Взломали сервер, зашифровали все данные на диске d.
      CollectionLog-2018.07.14-09.36.zip
      README.txt
    • aleksandarporfenov
      Тоже поймали шифровальщик CryptConsole 3
      Автор aleksandarporfenov
      Тоже поймали его сегодня, вот текст..
       Your files are encrypted!
      YOUR PERSONAL ID
      Zrr03PHaSrhIJOdPkxM0p8Sd4Qwz1NbEUngihWst
      ---------------------------------------------------------------------------------
      Discovered a serious vulnerability in your network security.
      No data was stolen and no one will be able to do it while they are encrypted.
      For you we have automatic decryptor and instructions for remediation.
      ---------------------------------------------------------------------------------
      You will receive automatic decryptor and all files will be restored
      ---------------------------------------------------------------------------------
      * To be sure in getting the decryption, you can send one file(less than 10MB) to mirey@tutanota.com or teresa@tutanota.de In the letter include your personal ID(look at the beginning of this document).
      Attention!
      Attempts to self-decrypting files will result in the loss of your data
      Decoders other users are not compatible with your data, because each user's unique encryption key
      ---------------------------------------------------------------------------------
       

      можно здесь попросить помощи, что бы тем не плодить?


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60055
×
×
  • Создать...