Перейти к содержанию
Встреча клуба на Новогодней ярмарке

[РАСШИФРОВАНО] hopeandhonest@smime.ninja[28A11195-F7636750]

malex337
 Share Подписчики 2

Рекомендуемые сообщения

malex337

malex337 0

Опубликовано
Опубликовано

Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 

Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.

Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 

На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.

На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 

Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.

Нужна помощь. 

1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?

2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.

До этого kes убивал все на подлете. 

 

Addition.txt FRST.txt rial1c_выгрузки.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 200

Опубликовано
Опубликовано

В этой системе не нашёл следов вымогателя.

 

17 минут назад, malex337 сказал:

на древнем 2008 sp2

Вы удивитесь, но на ещё более древнем 2003 Server успешно устанавливается, обновляется и работает Kaspersky Security для Windows Server 10.1.2.996

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Task: {DE2BA886-C26B-45FF-B724-6A15C52BF3CB} - System32\Tasks\print_ => D:\Общий обмен\МАК Админ\print.exe (Нет файла)
FirewallRules: [{ED816C96-609D-4588-971D-D3EB6651A745}] => (Allow) LPort=475
FirewallRules: [{EBECF97B-51DA-4F1C-9660-7CE58904A8AF}] => (Allow) LPort=475
FirewallRules: [{7195D501-D49A-4B6B-9A9E-171D03E87A45}] => (Allow) LPort=1542
FirewallRules: [{A99FC4E9-1BDE-46ED-BE72-C2DD35728FDF}] => (Allow) LPort=1542
FirewallRules: [{13C4B8C6-DFE3-4123-8F48-0FF3FEA43A4D}] => (Allow) LPort=53
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программы от производителя IObit являются нежелательным ПО, деинсталлируйте их:

Цитата

 

IObit Unlocker

Smart Defrag 5

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 200

Опубликовано
Опубликовано

Проверьте ЛС.

 

Уязвимые места проверьте так:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
malex337

malex337 0

Опубликовано
  • Автор
Опубликовано (изменено)

Интернет подключен, заходил на яндекс новости для теста. Выдало -  

Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!

Файла не было с логом

И было сообщение, что скрипт был выполнен без ошибок.

 

 

Выполнено все по инструкции. Найденные зашифрованные файлы расшифровались. Действует ли еще шифровальщик, непонятно. Завтра буду пробовать обновлять kes до рекомендованной версии и потом проводить проверку.

Изменено пользователем malex337
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 200

Опубликовано
Опубликовано

А попробуйте перейти по адресу:

https://www.df.ru/~kad/ScanVuln.txt

Если получится, скопируйте и выполните этот скрипт в AVZ.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] hopeandhonest@smime.ninja[28A11195-F7636750]

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • vyz-project
      Все файлы были зашифрованы с расширением .elpy
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
    • oocool
      Шифровальщик Phobos .elbie
      От oocool
      Недавно словил Шифровальщик Phobos. Все файлы зашифрованы с расширением .elbie
      Была резервная копия данных, поэтому диск форматнули и восстановились.
      Знаю, что дешифровать его пока нельзя, но есть множество файлов - зашифрованных и их оригинал. Можно ли при их сопоставлении выявить закономерность (алгоритм или пароль)?
    • o.v.burcev
      словил шифровальщик .deep
      От o.v.burcev
      Добрый вечер.
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить
       
      Пароль на архив с файлами вируса - virus
      virus.zip файлы FRST.7z File1.7z File2.7z
    • StPaladin
      Зашифровало файлы на NAS (возможно Linux.Encoder.6)
      От StPaladin
      Добрый день, стоял NAS с простым логином и паролем, куда закидывали файлы с фотографиями. Полгода его не трогали и видимо, он за этот период был взломан и заражен. Можете подсказать, как расшифровать или к кому обратиться за профессиональной помощью? Doctor Web лишь подсказали, что зашифрован при помощи Linux.Encoder.6 и расшифровка их силами невозможна.
      Файл с зашифрованными файлами прилагаю
      Зашифрованные файлы с txt.zip
    • Alexe
      шифровальщик adk0@keemail.me
      От Alexe
      Добрый день!
       
      Заразили компьютер шифровальщиком.
      Антивирус стоял. 
      Есть ли способ вылечить ?
       
       
      Шифровальщик.rar
×
×
  • Создать...