Перейти к содержанию

Диск D зашифрован *CRY

1Влад1
 Поделиться

Рекомендуемые сообщения

1Влад1 Новичок

1Влад1

Опубликовано
Опубликовано

Привет всем, помогите решить проблему. Ко всем файлам добавилось расширение *CRY. На рабочем столе появился ярлык  "Ваш консультант". Как расшифровать файлы на диске D? Лог с AutoLogger прикреплен ниже.

CollectionLog-2014.09.17-21.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\Program Files\ShopperPro\updater.exe','');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','');
DeleteService('SPDRIVER_1.37.0.202');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
DeleteFile('C:\Program Files\ShopperPro\updater.exe','32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperPro','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32');
Delete-File('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_3537303635383538352d3437415a556c2a3223346c41','32');
DeleteFile('C:\Windows\system32\Tasks\SPDriver','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=141&clid=2151455
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text=

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
    • Денис Виноградов
      Зашифровали файлы на пк и на общем диске
      Автор Денис Виноградов
      Добрый день, на выходные оставляли ПК включенным, с утра человек уже увидел картину со всеми зашифрованными файлами на пк и также на общем диске в сети. Прикрепляю исходный файл, зашифрованный и текст с требованием связаться для расшифровки файлов. Просьба подсказать, что можно придумать в данной ситуации
      files.zip
×
×
  • Создать...