Перейти к содержанию

Важные файлы зашифрованны

Радий Логачёв

Автор Радий Логачёв
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Радий Логачёв

Радий Логачёв

Опубликовано
Опубликовано (изменено)

Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."

CollectionLog-2015.07.09-00.38.zip

Изменено пользователем Радий Логачёв
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('SPDRIVER_1.42.0.1779', 4);
 SetServiceStart('QMUdisk', 4);
 StopService('AdBlockerService');
 QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*','');
 QuarantineFile('C:\PROGRA~2\YOUTUB~1*','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\*','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\*','');
 QuarantineFile('C:\Program Files (x86)\iWebar\*','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*','');
 QuarantineFile('C:\Program Files (x86)\24Seven savings\*','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\*','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCL.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*','');
 QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*','');
 DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, '');
 DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' ');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64');
 DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64');
 DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64');
 DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\SensePlus\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, '');
 DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64');
 DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, '');
 DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32');
 DeleteFileMask('c:\program files (x86)\adblocker\','*', true, '');
 DeleteDirectory('c:\program files (x86)\adblocker\ ',' ');
 DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' ');
 DeleteFile('C:\WINDOWS\system32\ccl.dll','32');
 DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D');
 DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71');
 DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteService('TS888x64');
 DeleteService('SPDRIVER_1.42.0.1779');
 DeleteService('QMUdisk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
 
 
Сделайте новые логи по правилам (только пункт 2).

+ логи MBAM и ADwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • decoy4ik
      Вирусом зашифрованы важные файлы.
      Автор decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • Zinger0
      @GotchaDec, Hunt3 - зашифрованны файлы на Windows и ESXi.
      Автор Zinger0
      Зашифрованы файлы на Windows и ESXi.
      Судя по следам - работали вручную. Через Энидеск и т.д.
      Сеть и сохраненные пароли сканировали в т.ч. NirSoft утилитами и mimikatz
      Подробнее описание см. в архиве в файле.
      Остальные файлы предоставлю по запросу, как сказано в правилах.
      Обращаюсь в первый раз. Простите, если ошибся где-то.
      FRST.txt files.rar
    • KL FC Bot
      Что важно знать о CVSS для эффективной защиты своих ИТ-активов
      Автор KL FC Bot
      В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
      База CVSS
      Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
      Эта оценка состоит из двух основных компонентов:
      числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
      Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
       
      View the full article
    • KL FC Bot
      Компрометация NX build – что важно знать разработчикам и службам ИБ про атаку s1ngularity | Блог Касперского
      Автор KL FC Bot
      Популярная система сборки и оптимизации сборочного конвейера CI/CD Nx была скомпрометирована в ночь с 26 на 27 августа. В пакеты системы, имеющие по статистике репозитория npm более 5 миллионов загрузок еженедельно, был добавлен вредоносный скрипт, который запускается сразу после инсталляции пакета. У тысяч разработчиков, применяющих Nx для ускорения и оптимизации сборки приложений, были украдены важные конфиденциальные данные: токены npm и GitHub, ключи SSH, криптокошельки, API-ключи. Эти данные выгружались в публичный репозиторий GitHub. Масштабная утечка секретов создает долгосрочную угрозу атак на цепочку поставок — даже когда вредоносные пакеты будут удалены из пораженных систем, у злоумышленников все равно могут остаться возможности компрометации приложений, создаваемых этими тысячами разработчиков.
      Хронология атаки и реагирования
      Злоумышленники воспользовались скомпрометированным токеном одного из мейнтейнеров пакета Nx чтобы в течение двух часов с 22:32 UTC 26 августа до 0:37 UTC 27 августа опубликовать многочисленные вредоносные версии пакета Nx и его плагинов. Двумя часами позже платформа npm удалила все скомпрометированные версии пакетов, а еще час спустя владельцы Nx отозвали украденный токен — атакующие потеряли доступ к публикации. Тем временем на GitHub стали появляться тысячи публичных репозиториев, содержащих данные, украденные вредоносным скриптом.
      27 августа в 9:05 UTC отреагировал уже GitHub, сделав все репозитории с утечкой приватными и недоступными для поиска. Тем не менее, украденные данные были общедоступны более 9 часов и их скачали многократно разные группы злоумышленников и исследователей. В общей сложности было выпущено 19 скомпрометированных версий Nx и плагинов:
      @nx, 20.9.0, 20.10.0, 20.11.0, 20.12.0, 21.5.0, 21.6.0, 21.7.0, 21.8.0 @nx/devkit, 20.9.0, 21.5.0 @nx/enterprise-cloud, 3.2.0 @nx/eslint, 21.5.0 @nx/js, 20.9.0, 21.5.0 @nx/key, 3.2.0 @nx/node, 20.9.0, 21.5.0 @nx/workspace, 20.9.0, 21.5.0  
      View the full article
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
×
×
  • Создать...