Перейти к содержанию

Вирус шифровальщик *zmsgrcl

СергейПенза

Автор СергейПенза
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

СергейПенза

СергейПенза

Опубликовано
Опубликовано

Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl

Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected

Заранее спасибо!

 

Строгое предупреждение от модератора Roman_Five
Зловреда выкладывать не надо!

CollectionLog-2015.01.29-11.52.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\DOCUME~1\KRASIL~1\LOCALS~1\Temp\oosqnsl.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Search Protection\SearchProtection.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\ADMIN\svchost.exe','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\ADMIN\svchost.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Search Protection\SearchProtection.exe','32');

 DeleteFile('C:\DOCUME~1\KRASIL~1\LOCALS~1\Temp\oosqnsl.exe','32');

 DeleteFile('C:\WINDOWS\Tasks\lkdozqd.job','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Lan_service','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection','command');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Search Protection');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Lan_service');

 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Search Protection', '*', true, ' ');

 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Search Protection');  

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




R3 - URLSearchHook: (no name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - (no file)


 

 

Сделайте новые логи Автологгером. 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

СергейПенза

СергейПенза

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

SearchProtection.exe

Вредоносный код в файле не обнаружен.

svchost.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.   Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

SearchProtection.exe

No malicious code was found in this file.

svchost.exe

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: [скрыто]
Sent: 1/30/2015 6:33:02 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1]


LANG: ru
               
description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine.zip


Еще одно письмо.

 

 

Здравствуйте,

SearchProtection.exe

Вредоносный код в файле не обнаружен.

svchost.exe - Trojan.Win32.Reconyc.dqrj

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"
 

Свежий лог

 

Сообщение от модератора
Скрыта почта

CollectionLog-2015.01.30-14.35.zip

Изменено пользователем mike 1
Скрыта почта
mike 1

mike 1

Опубликовано
Опубликовано

  • Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

     

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:


    
CreateRestorePoint:
    
Folder: C:\Documents and Settings\All Users\Application Data\ADMIN

     

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

СергейПенза

СергейПенза

Опубликовано
  • Автор
Опубликовано

Жаль... Благодорю за потраченное время!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SimTor
      ПК зашифрован Loki Locker через rdp.
      Автор SimTor
      Addition.txtRestore-My-Files.txtfile.zipFRST.txt
      Добрый день!
      Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
      Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
      Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

      Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...