Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помогите, шифровальщик da_vinci_code

vvaterfox
 Поделиться

Рекомендуемые сообщения

vvaterfox

vvaterfox

Опубликовано
Опубликовано

Добрый день!

 

Зашифрованы все офисные и текстовые файлы в виде mJC13dOHPNuKgQoLM8auqw==.04A0A0F254DC47C59B99.da_vinci_code и конечно же появились файлы README.

 

С огромным уважением))

CollectionLog-2016.05.16-15.26.zip

README.zip

mike 1

mike 1

Опубликовано
Опубликовано

Ну и кто на сервере запустил шифровальщик?

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
mike 1

mike 1

Опубликовано
Опубликовано

Как маленькие дети прям. 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).
 
Файлы: 20
Worm.AutoRun, C:\WINDOWS\system32\6F786E\dp1.fne, , [10836e68b4e5b97d08cdd5403ec6ae52], 
Worm.AutoRun, C:\WINDOWS\system32\6F786E\eAPI.fne, , [a1f204d2fe9b0a2caf1fee27d52f02fe], 
Trojan.Agent, C:\WINDOWS\system32\6F786E\internet.fne, , [b4df2ea8e2b77db95aabe70753b04ab6], 
Trojan.Agent, C:\WINDOWS\system32\6F786E\krnln.fnr, , [ade66e683a5f0135d4c02fcc5ba86d93], 
Worm.AutoRun, C:\WINDOWS\system32\6F786E\RegEx.fnr, , [a8ebd2045c3d2d095355797f857c2cd4], 
 
Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
 
mike 1

mike 1

Опубликовано
Опубликовано

Хороший у вас бухгалтер с правами админа сидит.

 

Антивирус Касперского 6.0 для Windows Servers (HKLM\...\{1B419CE6-A1AA-4207-8581-A414BE9C7B85}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [pwldnafvgqer] => C:\DOCUME~1\buh1\LOCALS~1\Temp\ymihysebtkfzkouetzg.exe
HKLM\...\Policies\Explorer\Run: [scupcsathulbiik] => navtjcnjaqkdnqvesx.exe
2016-05-12 21:30 - 2016-05-12 21:30 - 03888054 _____ C:\Documents and Settings\buh1\Application Data\75EDC3D075EDC3D0.bmp
2016-05-12 14:21 - 2016-05-13 11:03 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2012-09-07 09:43 - 2012-09-07 09:43 - 0004088 ____H () C:\Program Files\owmfqekbnynbgeeirrsbjzsdrxoalaotrrv.efo
2012-09-07 09:45 - 2012-09-07 16:39 - 0001016 ____H () C:\Program Files\pwldnafvgqervsrucbbjqfxhuzpakylpml.wvv
2012-09-07 09:44 - 2012-09-07 16:38 - 0000316 ____H () C:\Program Files\scupcsathulbiikqbdgrbtobrzsgtkahhjpac.qas
2012-09-07 09:44 - 2012-09-07 09:44 - 0000073 ____H () C:\Program Files\xibxlclfuiarzadkwzdpatpdudxmasjrsvcorv.slh
2012-09-07 09:43 - 2012-09-07 16:39 - 0000272 ____H () C:\Program Files\fchppsntuuybvixqodtrotbb.zfg
C:\Documents and Settings\buh1\Local Settings\Temp\2SKKKKKKK.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\buh1\LOCALS~1\Temp\31582562aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hostsSYSTEMСоставлено NetScheduleJobAdd.0ߝÙ㹶쀕Ꮳ␿揵勒畮쉯鈂ꨇ鬺἟⁡僗৻篳띏ŰߺⲐ祪쑺ㄶ함㿌蒊围譅㯨ᘻ <==== ATTENTION
Task: C:\WINDOWS\Tasks\At2.job => C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\buh1\LOCALS~1\Temp\31642468aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hostsSYSTEMСоставлено NetScheduleJobAdd.0ߝÙ윉雦显䀀몈ރ桿婝躈赀璟渾ꗮ쮡⡌狺힬ꃣ㘳鉉砂✏覘担촨 <==== ATTENTION
Hosts:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\owmfqekbnynbg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rpcsrv]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xibxlclfuiarzadk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ymihysebtkfzkouetzg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{AB7B4DC3-6E1F-7E15-7235-0AA0D1B36AF8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{C111931F-A8D0-1824-A1EB-C7159B3A6902}]
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\svchost.exe] => Enabled:Windows Debugger 32
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
vvaterfox

vvaterfox

Опубликовано
  • Автор
Опубликовано

дык, не я эти вопросы решаю... :idontno:  у них как поставили так - так и стояло... 
 

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

Злоумышленники очень любят таких как Вы потому что с тех, кто халатно относится к информационной безопасности можно стряхнуть неплохие деньги за человеческую глупость. У вас мало того, что антивирус установлен, который уже снят с поддержки, так еще совершенно безобразным образом настроены права у обычных пользователей. Бухгалтер должен сидеть с правами пользователя, а сидит с правами админа. Мне если честно некоторых таких пользователей не жалко. 

 

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • chkof
      no_more_ransom
      Автор chkof
      Добрый день!
      Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.
      ПОМОГИТЕ!
      CollectionLog-2016.12.24-12.36.zip
    • Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
      Автор Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
       
      Прошел вот эту процедуру http://prntscr.com/dllhyf

      На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.
       
      Прикрепляю реадми и 3 фала для примера
       
       

      Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить
      FRST.txt
      Addition.txt
      на отправку.rar
    • Romcop
      Получил no_more_ransom
      Автор Romcop
      С Наступающим НГ!
       
      Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.
      Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.
       
      Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. 
       
      Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.
       
      CollectionLog-2016.12.28-18.53.zip
      report1.log
      report2.log
      README1.txt
    • Romcop
      2-й компьютер с NO_MORE_RAMSON
      Автор Romcop
      С Наступающим!
       
      На 2-м компьютере бухгалтерии. Зашифрованы файлы на диске С частично, на Е (восстановление системы) практически полностью. На сетевые диски тоже навалил README... Вообщем, отключил сеть, вошел под администратором, проверил KVRT, включил AutoLogger. Результаты Autologger`а. 
      CollectionLog-2016.12.29-12.39.zip
      report1.log
      report2.log
    • pgm
      Шифровальщик no_more_ransom
      Автор pgm
      Здравствуйте.
      23.12.2016 поймали на шифровальщик, который зашифровал все фото, документы и др., расширение no_more_ransom.
      В почту пришло письмо якобы от банка и т.д. с .js файлом.
      Архив с письмом проверен Касперским. Файл был извлечен из архива и опять проверен касперским и был запущен 22.12.2016.
      23.12.2016  все файлы были зашифрованы прежде чем Касперский обнаружил заражение.
       
      Ключ Касперского 4EC8AA55.key
       
      Что делать?
      Содержание файла README1.txt
       
      Baши фaйлы были зaшифровaны.
      Чmoбы рacшифрoвamь ux, Вам необxoдuмо отпpaвumь кoд:
      5CDAE1B63491DA3A3BF1|759|6|40
      на элekтpoнный адpeс lukyan.sazonov26@gmail.com .
      Далеe вы nолучume вcе необxoдuмыe uнстрyкции.
      Пoпытku pacшuфpовaть сaмocmoятeльнo нe nрuвeдyт нu k чeму, kрoме бeзвозвpатной поmери uнфоpмацuu.
      Если вы всё жe xоmитe nопытamься, mо npeдваpumельнo cдeлaйте резеpвныe кonuи фaйлов, uнaче в cлyчаe
      иx изменeнuя рaсшuфровкa сmанem невoзможнoй ни nрu kaкux yсловияx.
      Ecли вы не nолyчили отвеma no вышеyказанномy адpeсу в теченue 48 часов (и moлько в этoм cлyчаe!),
      вocnoльзуйmeсь фоpмой обратной связu. Эmо можнo сделать двумя споcобами:
      1) Скaчaйтe и устанoвuте Tor Browser пo ссылke: https://www.torproje...ad-easy.html.en
      В адpеснoй cтpokе Tor Browser-a ввeдuте адрес:
      http://cryptsen7fo43rr6.onion/
      u нaжмumе Enter. 3arрузитcя cтрaнuца с фopмoй обpamнoй связu.
      2) В любoм бpаyзерe пеpейдume nо однoму uз aдpесoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
×
×
  • Создать...