Перейти к содержанию

Поймали вирус шифратор

Тимофей Горячев

Автор Тимофей Горячев,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

Тимофей Горячев

Тимофей Горячев 0

Опубликовано
Опубликовано (изменено)

Добрый день. Бухгалтер поймал вирус шифратор 3.01.2016. 

Мои действия:

1. Создал запрос через личный кабинет и прикрепил следующие файлы: три зашифрованных документа, предупреждение о переводе денег и файл: как расшифровать файлы.

2. Решил так же написать на форум, так как это возможно ускорит поиск проблемы.

Сюда так же прикрепляю данный архив.

Номер обращения в лк: 

INC000005586187

вирус.xlsx.zip

Изменено пользователем Тимофей Горячев
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

"Повезло" бухгалтеру. Поймала два разных шифровальщика. 

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на сообщение
Поделиться на другие сайты
Тимофей Горячев

Тимофей Горячев 0

Опубликовано
  • Автор
Опубликовано (изменено)

Все готово:

1. Пункт выполнил

2. Результаты сканирования AutoLogger прикрепляю к данному сообщению.

CollectionLog-2016.01.05-14.06.zip

report1.log

report2.log

Изменено пользователем Тимофей Горячев
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)
Вложение из письма сохранилось?
 
 
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 QuarantineFile('C:\Program Files\1C\builds1.exe','');
 DeleteFile('C:\Program Files\1C\builds1.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Сделайте новые логи Автологгером. 
 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Тимофей Горячев

Тимофей Горячев 0

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за ожидание.

номер с newvirus@kaspersky.com:

 

KLAN-3562965937

и файл карантина.

Все продублировано в личный кабинет.

quarantine.zip

Изменено пользователем Тимофей Горячев
Ссылка на сообщение
Поделиться на другие сайты
Тимофей Горячев

Тимофей Горячев 0

Опубликовано
  • Автор
Опубликовано

Файл успешно загружен

MD5 карантина: 6028B04C5D99952959DE278403E207BE

Размер файла: 40217989 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

Ссылка на сообщение
Поделиться на другие сайты
Тимофей Горячев

Тимофей Горячев 0

Опубликовано
  • Автор
Опубликовано

Вложение из письма не сохранилось. Высылаю новые логи. Так же нашел файлы до и после (одни не зашифрованы, другие такие же после действия вируса)

CollectionLog-2016.01.07-12.30.zip

До заражения и после.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Тимофей Горячев

Тимофей Горячев 0

Опубликовано
  • Автор
Опубликовано (изменено)

Все сделал. Лог farbar прикрепил.

Addition.zip

Изменено пользователем Тимофей Горячев
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> DefaultScope {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881

SearchScopes: HKU\S-1-5-21-1645522239-1935655697-1644491937-1004 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = 

BHO: Game BOX -> {E33FF41E-53CB-4D93-885A-FFEFA04CD804} -> C:\Program Files\Game BOX\ScriptHost.dll => No File

2016-01-03 17:28 - 2016-01-04 13:05 - 00000000 ____D C:\Program Files\1C

Folder: C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Заархивируйте и пришлите 

C:\WINDOWS\email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0.id-QYELTZGMSZFMSZFLSXEKRXDJPVCIPUBHNTZG-03.01.2016 17@29@072793893.randomname-JRAGOVBIOVBHOUAGNTZGMTZGMTZGMT.AGN.cbf

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Stepan1992
      [РАСШИФРОВАНО] Попался на шифровальщика
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • decoy4ik
      Вирусом зашифрованы важные файлы.
      От decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • Vyacheslv B.
      Шифратор Zeppelin
      От Vyacheslv B.
      Здравствуйте. Пострадал от действий вируса-шифровальщика. Возможно ли восстановить файлы?
       
       
       
      encrypt.zipFRST.zip
    • duduka
      Произошла шифровка файлов cock.li
      От duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
    • Apdate2018
      Зашифровали сервер нужна помощь
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
×
×
  • Создать...