Перейти к содержанию

Очередная жертва шифровальщика

drunktomato
 Поделиться

Рекомендуемые сообщения

drunktomato Новичок

drunktomato

Опубликовано
Опубликовано

Добрый день.

 

На руках ноутбук с зашифрованными файлами с форматом .no_more_ransom и инструциями в файлах README1.txt, README2.txt...

На момент запуска вредоносного вложения из письма антивируса на машине не было.

Перед запуском автологгера запускал Kaspersky Virus Removal Tool 2015, обнаруженный зверинец решил не трогать, чтобы случайно не уничтожить улики.

Владелец очень надеется восстановить данные.

 

Заране спасибо за помощь!

 

CollectionLog-2016.12.13-01.34.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFileF('c:\users\шеф\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('C:\Users\Шеф\AppData\Local\Hostinstaller\3931287561_monster.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 DeleteFile('c:\programdata\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('C:\Users\Шеф\AppData\Local\Hostinstaller\3931287561_monster.exe', '32');
 DeleteFileMask('c:\users\шеф\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\шеф\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
drunktomato Новичок

drunktomato

Опубликовано
  • Автор
Опубликовано

Re: Файлы на анализ [KLAN-5512229040]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

 

Антивирус Касперского проверил файлы.

 

В файлах найдены вредоносные программы

csrss.exe - Trojan.Win32.Agent.neumtu

csrss_0.exe - HEUR:Trojan.Win32.Generic

csrss_1.exe - Trojan-Ransom.Win32.Shade.lex

csrss_2.exe - Trojan.Win32.Agent.nevnwq

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

CollectionLog-2016.12.14-22.13.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820031","hxxp://www.google.com/"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B9A46AF1D-A8B7-4F20-AA76-768F736FE6A4%7D&gp=820483
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-10-05]
CHR Extension: (Помощник) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhbldcgbjblipegbeclmcnnddnopnhjm [2016-10-05]
CHR Extension: (Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-10-05]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\iflppbjnpneiigcbdfjpnkebidmkjmoi [2016-10-05]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-08-05]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-11-17]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Шеф\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppoilmfkbpckodoifdlkmkepcajfjmhl [2016-08-05]
OPR Extension: (Помощник) - C:\Users\Шеф\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-11-21]
OPR Extension: (blacount) - C:\Users\Шеф\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2015-12-25]
2016-12-13 00:50 - 2016-12-14 20:56 - 00000000 __SHD C:\Users\Все пользователи\services
2016-12-13 00:50 - 2016-12-14 20:56 - 00000000 __SHD C:\ProgramData\services
2016-11-22 19:23 - 2016-12-14 20:59 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-11-22 19:23 - 2016-12-14 20:59 - 00000000 __SHD C:\ProgramData\Csrss
2016-11-22 09:49 - 2016-11-22 09:49 - 03148854 _____ C:\Users\Шеф\AppData\Roaming\583B5ACE583B5ACE.bmp
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README9.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README8.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README7.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README6.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README5.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README4.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README3.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README2.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README10.txt
2016-11-22 09:41 - 2016-11-22 09:41 - 00004154 _____ C:\Users\Шеф\Desktop\README1.txt
2016-11-22 09:38 - 2016-11-22 19:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-11-22 09:38 - 2016-11-22 19:23 - 00000000 __SHD C:\ProgramData\System32
2016-11-21 19:10 - 2016-12-14 20:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-21 19:10 - 2016-12-14 20:59 - 00000000 __SHD C:\ProgramData\Windows
2016-11-22 09:12 - 2015-12-25 00:45 - 00000000 ____D C:\Users\Шеф\AppData\Roaming\IObit
C:\Users\Шеф\AppData\Local\Temp\09135218.exe
C:\Users\Шеф\AppData\Local\Temp\10001F33.exe
C:\Users\Шеф\AppData\Local\Temp\7945E64D.exe
C:\Users\Шеф\AppData\Local\Temp\7E19C645.exe
Task: {3C0F9826-30DB-4610-B0CB-EE13A8F0DCD7} - System32\Tasks\Uninstaller_SkipUac_Шеф => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {C07ECBB8-698B-4375-A546-3FD28EC84251} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {C26D5691-1FDB-4608-BAA3-9CB3816473B6} - \{1D07D885-2081-4474-B542-20AB1199FB96} -> No File <==== ATTENTION
HKU\S-1-5-21-544928747-450396448-785776738-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Ransomware-группировка Fog публикует IP-адреса жертв | Блог Касперского
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
×
×
  • Создать...