Перейти к содержанию

Шифровальщик по ссылке из письма от имени ФНС


Рекомендуемые сообщения

Доброго здоровья, сегодня прислали письмо, причем Юзеры пересылали меж собой несколько раз, в итоге бух перешел по ссылке из письма.
В результате зашифрован комп и через сетевой диск сервер...

 

PS: Логи делал на сервере, вечером сделаю логи с рабочей станции.

 

Всех сисадминов с праздником!

Addition.txt

CollectionLog_2016.07.26_18.48.zip

FRST.txt

Shortcut.txt

post-39622-0-65563400-1469777471.jpg

Ссылка на комментарий
Поделиться на другие сайты

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

Ссылка на комментарий
Поделиться на другие сайты

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

 

Удалось по удаленке выгрузить, посмотрите что получилось...

 

Я понимаю, что с этим проблема. К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор, за что и огромное спасибо! (восстановилось 99,9% информации)

CollectionLog-2016.07.29-23.30.zip

report1.log

report2.log

Изменено пользователем Noch_Hak
Ссылка на комментарий
Поделиться на другие сайты

 

 


К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

здесь надо проверить настройки.
DNS точно вражеский (первый)
надо сменить.
прокси если не ваш - тоже.
 

Interface: "Подключение по локальной сети"
IPAddress = "10.10.9.153"
SubnetMask = "255.255.255.0"
DefaultGateway = "10.10.9.254"
NameServer = "37.10.116.201,8.8.8.8"

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('amsint32', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\tjmpin.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\tjmpin.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteService('amsint32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2016.08.02-14.15.zip

Изменено пользователем Noch_Hak
Ссылка на комментарий
Поделиться на другие сайты

Это ответ https://companyaccount.kaspersky.com

Reply to customer

Александр, здравствуйте!
Мы провели анализ предоставленных Вами файлов.
Анализ показал, что файлы зашифрованы модификацией Trojan-Ransom.Win32.Cryakl. .

Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов на данный момент, к сожалению, не представляется возможной.
Мы продолжаем работы по расшифровке. В случае успеха декриптор будет предоставлен в рамках запроса.

Изменено пользователем Noch_Hak
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

Logger.rar

Изменено пользователем Noch_Hak
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 


и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((
Ссылка на комментарий
Поделиться на другие сайты

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 

 

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

 

Нет, я не игнорировал вопрос. Если вежливо то просто не допускали до этого компьютера, как говорится нет взаимопонимания между мной, замом руководителя, начальником бухов и моим начальником. Что вылилось в три попытки самому уволиться и три раза пытались сократить. Вот и результат, что бух ткнул кудато, а я крайний... 

Как обычно куча обязанностей т.к. у компьютерщика всегда работы нет!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Мусор вычистили. Остальное не в наших силах

СПАСИБО! можете посмотреть с моего ПК мусор?

а то пока я в отпуске был на нем работал другой человек, за ранее благодарен

CollectionLog-2016.08.03-09.33.zip

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Доброго дня, периодически мне на почту сыпется архивы и ссылки, в последнем прислали вирус "Trojan-Downloader.JS.Agent.mbg" кому то так заинтересовала инфа с моего компьютера....

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • ершик
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
×
×
  • Создать...