Перейти к содержанию

зашифрованы Winnix Cryptor Ransomware с расширением *.wnx

gipson
 Поделиться

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Как получили шифровальщика? Если через письмо, то пришлите копию письма мне в ЛС.

 

2016-12-08 13:58:04 ----A---- C:\Windows\logs.cmd

Файл знаком?

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
gipson Новичок

gipson

Опубликовано
  • Автор
Опубликовано

Файл C:\Windows\logs.cmd  присутствует.

Каким образом было осуществлено заражение неизвестно.

KAV сообщил о :

"10.12.2016 14.18.14    Обнаружен объект (файл)    C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\VOPackage.exe    Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\VOPackage.exe    Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur
10.12.2016 14.18.14    Обнаружен объект (файл)    C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe    Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe    Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur
10.12.2016 14.18.14    Обнаружен объект (файл)    C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe//#    Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe//#    Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur"

NOD сообщил о

: C:\YOUR FILES ARE ENCRYPTED!.txt    Win32/Filecoder.Winnix.A троянская программа    
C:\Users\Public\Desktop\YOUR FILES ARE ENCRYPTED!.txt    Win32/Filecoder.Winnix.A троянская программа    
C:\Users\Наташа\AppData\Roaming\VOPackage\Uninstall.exe    Win32/Adware.ConvertAd.AQ приложение    
C:\Users\Наташа\AppData\Roaming\VOPackage\VOPackage.exe    модифицированный Win32/Adware.ConvertAd.KZ.gen приложение

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drives.cmd [2014-04-15] ()
GroupPolicy: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4066850206-3971249192-761215802-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-12-11 20:14 - 2016-12-11 20:14 - 00000000 ____D C:\Users\Все пользователи\s2co
2016-12-11 20:14 - 2016-12-11 20:14 - 00000000 ____D C:\ProgramData\s2co
2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\Users\Все пользователи\s3ss
2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\Users\Все пользователи\s2r8
2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\ProgramData\s3ss
2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\ProgramData\s2r8
2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\Users\Все пользователи\sn4
2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\Users\Все пользователи\s3g0
2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\ProgramData\sn4
2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\ProgramData\s3g0
2016-12-08 13:58 - 2016-05-14 09:47 - 00000188 _____ C:\Windows\logs.cmd
Task: {A2F2D0C9-A3D1-4353-96E5-5FD40DDDA467} - System32\Tasks\logs => 
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
gipson Новичок

gipson

Опубликовано
  • Автор
Опубликовано (изменено)

Fix completed. Скопировал Fixlog.txt и созданный архив (с датой в имени) перед перезагрузкой. Отсылаю

 

Результат загрузки Файл сохранён как 161213_140048_13.12.2016_14.45.28_584fd4e100d42.zip Размер файла 3792 MD5 e0be62f45c01876b087240f587991f0c

Fixlog.txt

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Архив с карантином я не просил в теме выкладывать. Трясите короче своих сотрудников и спрашивайте, что они запускали 9 декабря примерно в 8:46 утра.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      Автор Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • DennisKo
      Зашифровали файлы расширение ANDRE
      Автор DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
×
×
  • Создать...