Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Поймали шифровальщика на сервер

slot9543
 Поделиться

Рекомендуемые сообщения

slot9543

slot9543

Опубликовано
Опубликовано

Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

В систему проникли основательно, удалили все вируталки с бекапами.
Бэкапов нет, очень хочется расшифровать.

В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


Заранее спасибо!

ЗашифрованныеФайлы.zip Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано

Эту программу деинсталлируйте (вайпер), ее ставят злоумышленники перед шифрованием.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

файл PES.exe заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание архива в личные сообщения (ЛС)

 

safety

safety

Опубликовано
Опубликовано (изменено)

Этот процесс закрыть

(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe

программу деинсталлировать

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
(Big Angry Dog Ltd -> Big Angry Dog) C:\Program Files\Hardwipe\hw-bin\hwgui.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
2024-10-05 04:32 - 2024-10-05 04:32 - 000001106 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000001024 _____ C:\Users\Public\Desktop\Hardwipe.lnk
2024-10-05 04:32 - 2024-10-05 04:32 - 000000000 ____D C:\Users\Администратор.AVICONN\AppData\Roaming\Big Angry Dog
2024-10-05 04:31 - 2024-10-05 04:31 - 000000000 ____D C:\Program Files\Hardwipe
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Roaming\Read Instructions.txt
2024-10-05 02:42 - 2024-10-05 02:42 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\LocalLow\Read Instructions.txt
2024-10-05 02:39 - 2024-10-05 02:55 - 000001195 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\Desktop\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Администратор.AVICONN\AppData\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Downloads\Read Instructions.txt
2024-10-05 02:37 - 2024-10-05 02:37 - 000001195 _____ C:\Users\Public\Desktop\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Администратор.AVICONN\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:36 - 2024-10-05 02:36 - 000001195 _____ C:\Users\Public\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:36 - 000001195 _____ C:\ProgramData\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-10-05 02:35 - 2024-10-05 02:35 - 000001195 _____ C:\Program Files (x86)\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • meriadok
      Зашифровались файлы, спасите!
      Автор meriadok
      Доброе время суток, уважаемые специалисты. Взываю к Вашей помощи, файлы зашифрованы, гугл и улитки не спасли. Подскажите есть ли шансы на расшифровку, куда податься?
      CollectionLog-2016.09.21-01.53.zip
    • plohish
      все тот же locked
      Автор plohish
      добрый день. возникла проблема. 
      бухгалтерия приняла скорее всего какой то файл открыли его и вирус попал в сеть. 
      на сервере данных где хранились доки все файлы стали с разрешением locked. так же если стереть разрешение то файл внутри будет весь в иероглифах.
      попытался просканировать ПК, ошибок и вирусов не обнаружено, но при этом этот вирус уже перешел на 2й комп....
      посоветуйте как можно востановить файлы. т.к. резервной копии к сожалению не осталось... 
    • МаксимкО
      вирусом-шифровальщик RAA
      Автор МаксимкО
      Здравствуйте!
      Получил письмо с адреса- Григорий Матвеев <klinsmann18@mail.ru> 
      Вопросы просят отправлять туда- raaconsult@mail2tor.com
      вот начало письма
      Ваши файлы были зашифрованы вирусом RAA.
      При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
      Это значит, что восстановить данные можно только купив ключ у нас....
       
      Словил вируса, после действия которого все офисные файлы и фото получили расширение LOCKED.
      Kaspersky RakhniDecryptor пока работает 14 часов.(уже не работает)
      Само письмо с вирусякой сохранил.
      На рабочем столе сформирован ключ и письмо от доброжелателя с его пожеланиями.
      На письмо пока он не ответил.
      CollectionLog-2016.08.30-03.38.zip
    • seurt
      Вирус шифровальщик LOCKED
      Автор seurt
      Аналогично теме http://forum.kasperskyclub.ru/index.php?showtopic=50695. Зашифровались файлы и стали с расширением .LOCKED. Пробовал Kaspersky RectorDecryptor - день подбирал ключи, не подобрал.
      CollectionLog-2016.06.22-17.06.zip
      AdwCleanerS1.txt
      AdwCleanerC1.txt
    • n199a
      Помогите удалить вирус .locker
      Автор n199a
      Нарвался на вирус, который в каждом файле добавил в конце тип расширения .locker.
      Помогите удалить
×
×
  • Создать...