Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, подцепил вирус Shuriken зашифровал файлы, сделали сканирование с помощью программы FRST, после сканирования прога выдала эти файлы, что они значат и что можно сделать?

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Файлы логов FRST либо битые, либо модифицированные - нечитабельные.

 

Возможно в системе есть активные файлы шифровальщика.

 

Добавьте дополнительно образ автозапуска системы в uVS.

(по возможности, сделайте из безопасного режима системы - SafeMode.)

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\PICTURES\S\C.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\PICTURES\WMI\X64\MIMIDRV.SYS
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ-ME-SHURKEWIN.TXT
ZOO %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\WINLOGON.EXE
ZOO %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE

;---------command-block---------
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\PICTURES\WMI\X64\MIMIDRV.SYS
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[DECRYPTION@COCK.LU][E00FDE43]DESKTOP.INI.SHURIKEN
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[DECRYPTION@COCK.LU][E00FDE43]WINLOGON.EXE.SHURIKEN
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ-ME-SHURKEWIN.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\PICTURES\S\C.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-MURLTS1HQQM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
apply
czoo
QUIT

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Удалите из папки, откуда запускаете FRST все ранее созданные логи.

 

Подготовьте еще раз логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-05-13] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {6CF6641F-CE6B-46B8-819C-50BA97F5FD62} - System32\Tasks\Shuriken => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-05-13 08:40 - 2024-05-13 08:40 - 000529920 ___SH C:\ProgramData\winlogon.exe
2024-05-13 08:40 - 2024-05-13 08:40 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-05-13 08:40 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-05-10 22:49 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-05-13 08:40 - 2024-05-13 08:40 - 000529920 ___SH () C:\ProgramData\winlogon.exe
2024-05-10 22:49 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-05-13 08:40 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-05-13 08:40 - 2024-05-13 08:40 - 000529920 ___SH C:\ProgramData\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

Сделайте после этого еще раз свежие логи FRST для контроля.

 

Файлы с Cpriv  не удаляйте, они необходимы для расшифровки (но при наличие приватного ключа, которого у нас нет)

 

2024-05-13 08:40 - 2024-05-13 08:40 - 000003328 _____ C:\Windows\SysWOW64\Cpriv.Shuriken
2024-05-13 08:40 - 2024-05-13 08:40 - 000003328 _____ C:\ProgramData\Cpriv.Shuriken
2024-05-13 08:40 - 2024-05-13 08:40 - 000003328 _____ C:\Cpriv.Shuriken

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно в будущем расшифровка станет доступной.
 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

winlogon.exe

https://www.virustotal.com/gui/file/107100827884e3fbf29c3618891dd173df6e31ecb0cee35f8be89fa500727979?nocache=1

 

Хорошо, судя по fixlog очистка прошла успешно, но сделайте новые логи FRST для контроля+ проверьте ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Gupecology
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • PRB84
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
×
×
  • Создать...