Перейти к содержанию

вирус зашифорвал файлы, пользуемся корпоративным KES10

pavlov_iv
 Share

Рекомендуемые сообщения

pavlov_iv Новичок

pavlov_iv

Опубликовано
Опубликовано

Ваши фaйлы былu зашuфpовaны.
Чmoбы раcшuфpoвать uх, Вaм неoбхoдuмо oтпрaвиmь kод:
89EE9CE1036ADE85D895|651|6|2
на электронный адрec robertamacdonald1994@gmail.com .
Дaлее вы nолучите вcе неoбxoдимые uнсmруkции.
Пoпытku расшифрoвamь самoсmояmельнo нe прuведут ни к чемy, кpомe безвозврaтной nотepu uнфоpмацuи.
Еcлu вы вcё же xoтитe nonыmamься, то пpедвaрuтeльно cдeлaйmе peзервныe koпиu файлов, иначе в слyчae
ux uзмeнeнuя рacшuфpoвka cmанет нeвозмoжной ни пpи кaких услoвuях.
Ecли вы не получuлu отвemа nо вышeукaзaннoмy адpeсy в тeчeнue 48 чaсов (и mольko в эmом случае!),
воcпользуйmеcь фopмой oбратной cвязи. Этo можно сделать двумя спoсoбaмu:
1) Скачайте u ycтанoвumе Tor Browser пo cсылкe: https://www.torproject.org/download/download-easy.html.en
В aдреcнoй cтрoke Tor Browser-a введuте адрeс:
http://cryptsen7fo43rr6.onion/
u нaжмume Enter. 3arрузиmся сmpанuцa c фoрмoй oбраmной cвязu.
2) B любoм браyзeрe пepейдитe no oдномy из адресoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
89EE9CE1036ADE85D895|651|6|2
to e-mail address robertamacdonald1994@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Помогите если возможно

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

На момент заражения эта настройка была включена?

 

Прочтите и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
pavlov_iv Новичок

pavlov_iv

Опубликовано
  • Автор
Опубликовано

на момент заражения такая настройка не включена, политики KSC по умолчанию

файл логов во вложении

 

 

плюсом вопрос: как то можно выяснить откуда запущен шифровальщик? почта, интернет, путь на локальном/сетевом диске? дабы не повторить это безобразие, на текущий момент пока это один такой компьютер

 

 

CollectionLog-2016.10.14-00.47.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

откуда запущен шифровальщик?

Вероятнее всего из почты.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
pavlov_iv Новичок

pavlov_iv

Опубликовано
  • Автор
Опубликовано

KLAN-5169833399

 


текст ответа:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

CollectionLog-2016.10.14-11.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-10-13 08:25 - 2016-10-13 08:29 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-10-13 08:25 - 2016-10-13 08:29 - 00000000 __SHD C:\ProgramData\Csrss
2016-10-13 08:23 - 2016-10-13 08:23 - 03932214 _____ C:\Users\Дом\AppData\Roaming\49624E6549624E65.bmp
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README9.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README8.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README7.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README6.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README5.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README4.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README3.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README2.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README10.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Дом\Desktop\README1.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README9.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README8.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README7.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README6.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README5.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README4.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README3.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README2.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README10.txt
2016-10-13 08:23 - 2016-10-13 08:23 - 00004202 _____ C:\Users\Public\Desktop\README1.txt
2016-10-12 15:49 - 2016-10-13 08:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-12 15:49 - 2016-10-13 08:23 - 00000000 __SHD C:\ProgramData\System32
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README9.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README8.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README7.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README6.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README5.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README4.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README3.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README2.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README10.txt
2016-10-12 15:49 - 2016-10-12 15:49 - 00004202 _____ C:\README1.txt
2016-10-12 15:48 - 2016-10-14 10:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-12 15:48 - 2016-10-14 10:57 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Дом\AppData\Local\Temp\882e4793-03fd-4614-b28c-95fc231ae28f.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • Союз потребобществ РК
      Пробная версия для корпоративных клиентов
      От Союз потребобществ РК
      Здравствуйте, наша организация каждый год приобретает ключи на продление антивируса Касперского для бизнеса. В новом периоде у нас появились 2 компьютера, на которых не было установлено ключей на антивирус. Можем ли мы установить на эти компьютеры бесплатную пробную версию антивируса, затем приобрести и установить ключ на продление?
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
×
×
  • Создать...