Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Trojan.Encoder.741 - троян зашифровал файлы

gamernet
 Поделиться

Рекомендуемые сообщения

gamernet

gamernet

Опубликовано
Опубликовано

На операционной системе Windows 2003 Server троян зашифровал файлы и теперь они имеют вид:

email-agent.vayne@india.com.ver-CL 1.2.0.0.id-LDPATEOZJUFPBLWGRCLWHRCNXISDNXITDOYJ-31.07.2016 7@44@38915709.randomname-ATFPQBMXJUFQBMXITEPALWHSDOZKVG.YKU.cbf

 

Я полагаю, что это Trojan.Encoder.741

 

Чем можно расшифровать файлы?

 

Как можно убрать надпись с рабочего стола о том, что необходимо отослать на почту образец?

 

(качал rectordecryptor.exe и RannohDecryptor.exe - к сожалению не помогли)

gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

а какой именно? по ссылке не понял, как узнать шифровальщик.

 

Подскажите, как расшифровать файлы? Как удалить банер?

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Как удалить банер?

Логи Автологгером сделайте и прикрепите к сообщению.

 

 

 

а какой именно? 

Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl

gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

 

По поводу Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl ничего дельного не нашел. Нашел кривую утилиту под названием RannohDecryptor.zip , в ней указано: укажите зашифрованный файл и оригинал... Гдеж я возьму оригинал, если он зашифрованный ))) Если будет оригинал, зачем мне тогда утилита для расшифровки )) Улыбнуло...

 

Есть варианты по расшифровке такого типа файлов?

mike 1

mike 1

Опубликовано
Опубликовано

 

 

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

Сделайте тогда этот лог. uVS перезагрузка не требуется.

 

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  •  
 
gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

Прикрепил файл. Действительно, сама программа упаковала файлы.

 

П.С. А можно как-то хотя-бы остановить процесс заражения? Ничего на сервере не делал (не удалял ничего). Боюсь что файлы по прежнему заражаются. И какие следующие действия мне необходимо предпринять?

SERVER_2016-08-02_13-40-35.7z

mike 1

mike 1

Опубликовано
Опубликовано

Папку C:\USERS\БУХГАЛТЕР\APPDATA\ROAMING\INTEL удалите вручную.

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

 

2 файла прикрепил ниже.

Addition.txt

FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

Точно. 

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C Предприятие.lnk [2016-07-02]
ShortcutTarget: 1C Предприятие.lnk -> C:\Users\Администратор\AppData\Roaming\Intel\srvany.exe (No File)
2016-07-31 07:47 - 2016-07-31 07:47 - 00927422 _____ C:\Users\Бухгалтер\AppData\Local\Temp\desk.bmp
2016-07-31 07:44 - 2016-07-31 07:47 - 00000079 _____ C:\Users\Бухгалтер\AppData\Local\Temp\PMGCDDYLMW.IMX
Folder: C:\Users\Бухгалтер\AppData\Local\Temp\
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

На рабочий стол не создался архив. Только в директории Fixlog.txt, который прикрепил ниже.


Папку Intel не удается удалить. На данном сервере через RDP сидят пользователи. Надпись на рабочем столе появилась у пользователя Бухгалтер. У нее та как раз и зашифровались файлы. Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе. (Не знаю, может это важно...)

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе.

Процесс завершите, а потом попробуйте удалить папку. Если не получится, то придется скриптом убивать, но потребуется перезагрузка сервера. Еще спросите у бухгалтера, что она запускала 31 июля в 7:40 утра? 

gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

А как расшифровать файлы?

Бухгалтер ничего не запускал в такое время, так как у нее рабочий день с 09:00 и охрана пропускает только с 08:00 в здание.

mike 1

mike 1

Опубликовано
Опубликовано

Значит к вам удаленно зашли через RDP. В логах сервера смотрите что запускали. Без помощи злодеев на данный момент никак.

gamernet

gamernet

Опубликовано
  • Автор
Опубликовано

т.е. файлы не расшифровать? и в любом случае придется платить?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...