Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифрованные файлы вирус от 10.2014

мфв
 Поделиться

Рекомендуемые сообщения

мфв Новичок

мфв

Опубликовано
Опубликовано

все файлы имеют вид

Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf

 

действовал по инструкции

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor

 

запустил AutoLogger [regist & Drongo] 3.03.2015

 

 

выкладываю результат

 

заранее благодарю за помощь

 

 

CollectionLog-2015.03.10-19.23.zip

report2.log

report1.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\INSTALL.LOG','');
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\UNWISE.EXE','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2ff866f6e2a3403b95ab885093885cdf79d84ea9775e','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
+
приложите логи Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

делаю все по методике. после первого скрипта перегружается. потом второй запусксаю - пишет "скрипт выполнен без ошибок", но никакого архива Quarantine.zip в папке нет


есть папка  Quarantine и в ней еще одна с датой, а в той несколько файлов с расширением .ini


хотя после первого скрипта были красные записи о предстоящем удалении каких-то файлов после перезагрузки


этих файлов не нашел на винте

 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');


8 файлов .ini

вот что внутри последнего

 

[infectedFile]
Src=\??\C:\Users\sneipas\AppData\Local\Temp\26638917FdOh
Infected=bcqr00008.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015

 

он не создал архив. странно. и комп все время что-то перелопачивает. 

винт гудит не останавливаясь


не проводится поиск маскировки процессов (пункт. 1.4) - драйвер не загружен.

второй раз комп перегружается и снова запускается одно и тоже.

это нормально?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполните такой скрипт для создания карантина.

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

 


Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015  - архив лгов создался
скинул его  на портал Kaspersky Virus Desk.
 



выполните такой скрипт для создания карантина.

 
выполнил, архив внутри пустой
 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool

 
сделал.
сюда кинуть не могу, пропало вложение файлов к сообщениям (((

нашел. прикрепляю

комп молотит не переставая. красный светодиод винта мигает круглые сутки

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


нашел. прикрепляю

не карантин, а логи автологгера.
 

\\

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar
2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar
2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Winlogon: [Shell] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  No File
BHO: Megaupload Toolbar -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} ->  No File
Toolbar: HKLM - Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Gyazo-2.3.0.exe
2015-03-05 19:43 - 2015-03-05 19:43 - 00000000 ____D () C:\Users\sneipas\AppData\Roaming\Gyazo
2015-03-05 19:42 - 2015-03-05 20:44 - 00000000 ____D () C:\Program Files\Gyazo
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gyazo
2015-03-05 19:41 - 2015-03-05 19:42 - 09698760 _____ (Nota Inc. ) C:\Users\sneipas\Downloads\Gyazo-2.3.0.exe
HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Run: [Gyazo] => C:\Program Files\Gyazo\GyStation.exe [3095840 2014-10-27] (Nota Inc.)
Task: {68896F2C-FFB8-436E-9280-85F73348DDF7} - \viklu No Task File <==== ATTENTION
Task: {8D7E7A36-E760-44A4-A8C8-96DBACF8A5AB} - \jj No Task File <==== ATTENTION
Task: {F09D320A-2FB3-4467-A926-8FC031F004F5} - \vikl No Task File <==== ATTENTION
Task: {F8EB512E-BDF4-41BC-9FDA-A468FC5839AA} - \At1 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0C1EFF69
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
мфв Новичок

мфв

Опубликовано
  • Автор
Опубликовано

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar

2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar

2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

 

 
 
это запаролленные архивы
два архива зашифрованных файлов- 6 расширений и один архив того самого вируса.
я вам их отсылал.
 
сейчас на компе работает какая-то прога - "randoms system informations toola - rabdom/random"
не знаю откуда появилась

 "random's system information tool - random/random"

 
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

не видит fixlist.txt  - хотя они в одной папке на рабочем столе размещены. странно

упс, пробел в имени в начале оказался 

прикрепляю фикслог.

 

Спасибо!

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • trhion3
      Зашифровали файлы в формат .elbie
      Автор trhion3
      Здравствуйте, поймали шифровальщика, файлы имеют вид "Имя_файла.Расширение.id[FCEE43BB-3398].[helprequest@techmail.info].Elbie".
      В прикрепе файлы из папки AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\0000CA74, 0000CA74 - может иначе называться, но файлы внутри те же. Там вроде какие-то стандартные виндовые данные из проигрывателя. Оригиналы брал уже со своей системы, Windows 10 x64 и у меня и зараженная, плеером никто никогда ни там ни там не пользовались, так что думаю эти файлы не изменялись с момента установки системы ни там ни там.
      Смотрел другие темы с тегом elbie, вроде как phobos и расшифровки нет, но решил на всякий случай попробовать обратиться.
      Addition.txt FRST.txt зашифрованное.7z
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
×
×
  • Создать...