Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик

Дмитрий Лубенцов

Автор Дмитрий Лубенцов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Лубенцов

Дмитрий Лубенцов

Опубликовано
Опубликовано

Добрый день!

На сервере в паблике зашифровались файлы. Помогите расшифровать файлы

 

mike 1

mike 1

Опубликовано
Опубликовано

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

Дмитрий Лубенцов

Дмитрий Лубенцов

Опубликовано
  • Автор
Опубликовано

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

CollectionLog-2016.12.12-14.19.zip

mike 1

mike 1

Опубликовано
Опубликовано

Вопросы принципиально не замечаем?

Дмитрий Лубенцов

Дмитрий Лубенцов

Опубликовано
  • Автор
Опубликовано

Вопросы принципиально не замечаем?

По поводу кейлоггер не могу ответить, досталось по наследству

mike 1

mike 1

Опубликовано
Опубликовано

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

В MBAM удалите все, кроме:
 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Дмитрий Лубенцов

Дмитрий Лубенцов

Опубликовано
  • Автор
Опубликовано

 

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

 

В MBAM удалите все, кроме:

 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

mbam-log2.txt

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Дмитрий Лубенцов

Дмитрий Лубенцов

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...