Перейти к содержанию

Криптор breaking_bad

backpacker
 Share Подписчики 2

Рекомендуемые сообщения

backpacker

backpacker 0

Опубликовано
Опубликовано

Доброго времени суток, как можно было понять, организация поймала шифровальщик через почту, путем запуска исполняемого файла, файлы с расширением .doc , .pdf и т.д перезаписаны с расширением .breaking_bad.

Долгое время система стояла без попыток что-либо предпринять (WinXP). Хотелось бы узнать, есть ли какая-либо вероятность успеха.

CollectionLog-2016.06.08-08.41.zip

FRST_logs.zip

Ссылка на сообщение
Поделиться на другие сайты
backpacker

backpacker 0

Опубликовано
  • Автор
Опубликовано

прошу прощения, компьютер без доступа в сеть пылился, ругался на недоступность обновления, поэтому пропустил шаг AVZ, прикрепил новый.

CollectionLog-2016.06.10-17.46.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
C:\Documents and Settings\User\Local Settings\Temp\03E34D14.exe
C:\Documents and Settings\User\Local Settings\Temp\rn32.dll
AlternateDataStreams: C:\Documents and Settings\User:id [32]
AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\смена провайдера Богданович.bat:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\смена провайдера Богданович.bat:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\1Bx7Y0-EEvhfGxWaQPbyTm-MpR58ZlG8pVa8jpC7RXjg0FCabsxSyY3XJapbm2QgRB7KLbjUEh8iUygOjsh8Vw==.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\49yAOglb0HEMn3yRxK1QGHDpBtkkwyaLtOsaPp8GVD8=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\88jlFEw7vwx34XcJDrjRohliZmusZK6ZhxPUqQxLaCkus7qZT6mr8S0iCrOtiOPgUqerD6LJzq7IDtFiTX-QFC4bRK+oVZuCEpVwP3Qowtk=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\akqxE63E-7PfIk0ULIwu439usnSQD-hGkOqdPRv2RBcdMUT91vK5+EQOIaz9zAYY.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\Hc-4+qt-Ftcw5+W1IwNMcKF4VloJB9LLjcYG1EAvKTKKktZGdM3kRMFo9oQw5oGGlrD32Vm8g7p0TDYEZPWNVdOA67TI4+hQhfjhBsRGPjg=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\Lq-R2eTi9Jho1VeZKnZ9Y4ERkvfEXbvLH4ia64dGt+ETftxDwGO4TxuK+apKibzsmSBsPYtZxOaRGLrCe9UOrA==.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\SxmuzQMyRD0Rp2OWleklc1HYDnB0cifYOwdVi+5Q9DnMqUQKiroERvvkj4mjXeMU.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\WcBXHolyzIa25sQZ16r5AqKTNz-oMaAQiwqJv5JtFw4=.084DD5D1660BD136FF9F.breaking_bad:SummaryInformation [61]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\WcBXHolyzIa25sQZ16r5AqKTNz-oMaAQiwqJv5JtFw4=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...