Перейти к содержанию

Поймал вирус-шифровальщик.


Рекомендуемые сообщения

Поймал вирус .

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
86AB3A8BA4DF17498F7E|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Тип названия файла : +5MswCze9n8FL54-hoI7mI2i9XwR+WUxqBQgbsbSIpM=.xtbl
Сам файл:

зашифрованный файл.rar

Ссылка на комментарий
Поделиться на другие сайты

Попал вирус-шифровальщик.

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
86AB3A8BA4DF17498F7E|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2015.03.28-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Windows\system32\sdclt.exe','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.dat','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
 QuarantineFile('c:\users\administrator\appdata\local\temp\1D3B0B456.sys','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\1D65ABCE9.sys','');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.exe','32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.dat','32');
 DeleteFile('C:\Windows\Tasks\Dealply.job','64');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job','64');
 DeleteFile('C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe','32');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job','64');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','64');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
 DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gameo','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
O8 - Extra context menu item: Скачать с Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL

 
 

Выполните скрипт в AVZ

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

полученный лог fystemRoot.log из папки AVZ приложите.

 

Сделайте новые логи по правилам (только пункт 3).

 

+ логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...