Перейти к содержанию
Задай вопрос Александру Ильину!

Шифровальщик just

Aleksandr63
 Share Подписчики 1

Рекомендуемые сообщения

Aleksandr63

Aleksandr63 0

Опубликовано
  • Автор
Опубликовано

KVRT:

Trojan-Ransom.Win32.Crusis.to
C:\Windows\System32\winhost.exe
Троянская программа
    MD5:  2C492DA142DD08FF4A52FC3FEB2F94F2
    SHA256:  D58B0A61C6B48BB171B19BBD82A31454102D02E5C224DF69E5EC37B7E2658D91

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Здравствуйте!

 

10 минут назад, Aleksandr63 сказал:

KVRT:

Trojan-Ransom.Win32.Crusis.to

Верно. Расшифровки нет, к сожалению.

 

Если нужна наша помощь в очистке системы от его следов, добавьте лог Addition.txt, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Лог FRST.txt из вашего первого сообщения был создан 27.05. Если есть сегодняшний, тоже его прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано
6 минут назад, Sandor сказал:

Лог FRST.txt из вашего первого сообщения

То, что лог Addition.txt сегодняшний я видел.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Прошу прощения, не туда посмотрел, спутал с датой версии программы :)

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(explorer.exe ->) () [Файл не подписан] C:\Windows\System32\winhost.exe
HKLM\...\Run: [winhost.exe] => C:\Users\Admin\AppData\Roaming\winhost.exe [94720 2023-05-29] () [Файл не подписан]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7225 2023-05-29] () [Файл не подписан]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Admin\AppData\Roaming\Info.hta" [7225 2023-05-29] () [Файл не подписан]
HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
HKLM\...\RunOnce: [c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b] => "C:\Users\Admin\AppData\Local\Temp\{4781759a-0943-4244-98bd-27df7e4d994d}\c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2023-05-29 09:16 - 2023-05-29 09:16 - 000094720 _____ C:\Users\Admin\AppData\Roaming\winhost.exe
2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Windows\system32\Info.hta
2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\FILES ENCRYPTED.txt
2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\FILES ENCRYPTED.txt
2023-05-27 09:50 - 2023-05-27 15:35 - 000094720 _____ C:\Windows\system32\winhost.exe
FirewallRules: [{587751DE-9AA9-412F-8F78-3BEA9BCAD2A1}] => (Allow) LPort=3702
FirewallRules: [{C2540A86-C131-49C0-AE74-BA7B5FEB2805}] => (Allow) LPort=9244
FirewallRules: [{24E672E2-54F6-4DD2-9E6B-4038A7B6457C}] => (Allow) LPort=9100
FirewallRules: [{B0404022-EE23-4D2A-8A58-44AA69A686C7}] => (Allow) LPort=427
FirewallRules: [{8A9E7E2C-B441-4D0A-ACC1-A727206637D6}] => (Allow) LPort=161
FirewallRules: [{7830F491-D929-40DB-9E3C-105A8BD4EA19}] => (Allow) LPort=427
FirewallRules: [{7130D6B2-28A0-4394-9E48-52D054F0210B}] => (Allow) LPort=3389
FirewallRules: [{4FAF4A93-1258-4BEA-81A0-28ACFAC027BC}] => (Allow) LPort=5357
FirewallRules: [{2B4F755F-2E88-4F83-8DF3-9BC8EB18BF67}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Не нужно было трижды запускать скрипт, достаточно одного раза.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-05-22 00:00:19
Поэтому постарайтесь установить эти исправления, закрывающие дыры в системе. Иначе повторного заражения не избежать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
OpenOffice 4.1.6 v.4.16.9790 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop, версия 1.9.14 v.1.9.14 Внимание! Скачать обновления
Viber v.15.7.0.24 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 86.0.1 (x64 ru) v.86.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 8 v.8.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ZzordNN
      Шифровальщик .an8uxv2w
      От ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • egorik
      Зашифровали файлы id-d6799d34.[cheese47@cock.li].roger
      От egorik
      в записке вот такой текст.
      all your data has been locked us
      You want to return?
      write email cheese47@cock.li or cheese47@tutanota.com
      после перезапуска система упала в восстановление
      на другом пк пока не перезагружали, чуть позже приложу лог от программы.
      в приложении примеры файлов
      пример
      SQLQuery1.sql.id-D6799D34.[cheese47@cock.li].rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Anton Aralov
      Justdoit шифровальщик
      От Anton Aralov
      Взломали 11 компьютеров в сети.
      1) на большинстве машин не было админских прав
      2) пароль админа достаточно сложный для взлома( 12 знаков, цифры буквы символы)
      3) Шифровальщик удалил касперского со всех машин где он присутствовал.
      FRST.zip пример файлов.zip
    • Twist123
      Все файлы имеют непарламетское расширение
      От Twist123
      На сервере все файлы имеют расширение pizdec. Файл вируса найти не удалось. Логи, а также примеры зашифрованных текстовых файлов прилагаю.
      Также обнаружили странный тектовый файл, который точно имеет отношение к вирусу. Его также прилагаю.
      Заранее спасибо за помощь.
      Encrypted files, strange file, message.zip server logs.zip
×
×
  • Создать...