Перейти к содержанию

Шифровальщик из флешки

KKT
 Share

Рекомендуемые сообщения

KKT Новичок

KKT

Опубликовано
Опубликовано

Здравствуйте! Очень будем рады помощи!
После отправки почты с прикреплением файла с флешки, файлы на компьютере были закодированы (28.09.2016, приблизительно в 11.00, отправка почты в 10.46) с изменением формата на breaking_bad и heisenberg. На рабочем столе появилось сообщение о кодировке и файлы read me c инструкцией по якобы разблокировке.

KL_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Сидят на антивирусе к которому уже базы не выпускают, а потом еще удивляются почему их зашифровали. 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Kaspersky Internet Security 2013 (HKLM\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Лаборатория Касперского)

 

Антивирус думаете обновлять? Или думаете, что и так сойдет? 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Smiles+ v13.7.24) - C:\Users\User\AppData\Roaming\smwdgt [2013-07-24]
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README10.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README1.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 06220854 _____ C:\Users\User\AppData\Roaming\DB61CCFEDB61CCFE.bmp
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README10.txt
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\ProgramData\Windows
2013-04-04 12:31 - 2013-04-04 12:31 - 0000288 _____ () C:\Users\User\AppData\Roaming\mySign.dat
2013-07-24 11:45 - 2013-07-24 11:45 - 0000006 _____ () C:\Users\User\AppData\Roaming\smw_inst
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано (изменено)

Антивирус думаете обновлять? Или думаете, что и так сойдет? 

 

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Прочитали тут у коллег по несчастью

 

Шифровальщик шифрует только все доступные ему файлы. По сети он не может установиться на другие компьютеры и начать шифровать там файлы, однако он может шифровать общие ресурсы, которые доступны компьютеру, на котором запустили шифровальщика. 

 

На всякий случай лог с сервера

 

Fixlog.txt

CollectionLog-2016.09.29-16.58.zip

Изменено пользователем KKT
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Вы можете бесплатно перейти на KIS 2016. Если конечно ключи у Вас не серые. Базы для 2013 уже не тестируются, а потому Вы как на пороховой бочке. Если завтра придет кривое обновление и что-то упадет у Вас, например сервер, то никто виноват не будет. 

 

Логи на сервере в порядке. 

Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано

 

 


Вы можете бесплатно перейти на KIS 2016.

Спасибо за информацию, попробуем, ключи белые

 

 


Логи на сервере в порядке. 

Хоть что-то хорошего за день.

После предыдущей процедуры с экрана исчезло сообщение о кодировке, но файлы по прежнему остались закодированными

Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано

Запрос был написан в тот же день после заражения - ждем ответа. Шансы-то есть у нас?

Чтобы перейти на KIS 2016 необходимо связываться с разработчиком или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Здесь лотерея. Может помогут, а может нет.

 

 

 

или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

Именно так, но только старую версию удалите перед этим. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Владимир_032
      Роли пользователя для управления "флешками"
      От Владимир_032
      Добрый день.
       
      Стажеру надо дать права на добавление/удаление флешек из списка "Доверенные устройства" в "Контроль безопасности" - "Контроль устройств".
      Подскажите, какую роль я должен ему прописать?
      Сейчас есть роль "Оператор сервера администрирования", но вышеуказанный функционал он только видит, править не может.
      У пользователя на скриншоте выделенные команды не активны.

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Блохина Татьяна
      Проблема с флешкой
      От Блохина Татьяна
      Здравствуйте! Я недавно купила флешку Кингстон на 64 и 128гигабайт по работе. Но обнаружила на них обеих следующее. Файл если записать в корень флешки читается нормально, но если переписать его с другого носителя в папке, то появляется сообщение об ошибке и не возможности файл прочесть или просто чистый лист. Форматирование изменений не принесло. Что делать, выкинуть флешки или можно их вылечить? Спасибо. Антивирус Касперского постоянно обновляется и вирусов на флешках не показывает.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...