Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы файлы

anton4ik
 Поделиться

Рекомендуемые сообщения

anton4ik

anton4ik

Опубликовано
Опубликовано

Вчера, судя по всему подключившись по RDP, скопировали файл и запустили шифровальщик.

Сегодня утром на рабочем столе был обнаружен запущенный файл vis.exe. Антивирус отключили, поковырялись с учетными записями...

 

Файлы теперь имеют имена типа email-tatarian@india.com.ver-CL 1.3.1.0.id-@@@@@4684-E4C6.randomname-ZBCDEEFGGHIIIJKKLMNNNOPPQRRRST.UVV.xxy

 

Есть файл шифровальщика. И вроде как один файл оригинала зашифрованного файла (определил по размеру, ко всем файлам добавилось ~30-32 кб)

CollectionLog-2016.12.15-15.08.zip

post-42946-0-87901800-1481805229_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  QuarantineFile('c:\users\user\desktop\vis.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

anton4ik

anton4ik

Опубликовано
  • Автор
Опубликовано

Вот отчеты


Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
vis.exe - Trojan.Win32.Filecoder.bg

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

KLAN-5523379205

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2016-12-15 10:32 - 2016-12-09 22:41 - 02244608 _____ C:\Users\User\Documents\vis.exe
2016-12-14 23:44 - 2016-12-09 22:41 - 02244608 _____ C:\Users\User\Desktop\vis.exe
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Downloads\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Documents\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\Desktop\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\Roaming\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 00000360 _____ C:\Users\User\AppData\LocalLow\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Public\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Public\Downloads\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Downloads\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Documents\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\Desktop\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Roaming\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default\AppData\Local\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Downloads\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Documents\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\Desktop\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Roaming\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\README.txt
2016-12-14 23:55 - 2016-12-14 23:55 - 00000360 _____ C:\Users\Default User\AppData\Local\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Roaming\README.txt
2016-12-15 00:03 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Roaming\Microsoft\README.txt
2016-12-14 23:55 - 2016-12-15 00:03 - 0000360 _____ () C:\Users\User\AppData\Local\README.txt
2016-10-20 04:01 - 2016-10-20 04:01 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-12-14 23:55 - 2016-12-15 00:03 - 0000360 _____ () C:\ProgramData\README.txt
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • streben
      Файлы зашифрованы с именем email-dalai.lama2057@gmail.com
      Автор streben
      Добрый день!
      на сервер попал вирус-шифровальщик и зашифровал все файлы с именем email-dalai.lama2057@gmail.com...зараженный файл.rar
      админ почистил сервер от вируса. возможно ли теперь расшифровать зараженный файл с базой данных? 
    • himan83gr
      Вирус зашифровал файлы vpupkin3@aol.com
      Автор himan83gr
      Здравствуйте,
      После зашифровки вирусом, много файлов особино типа *.xlsx , *.docx а так же база 1с,  приобрели имя файла
      "email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-LNPQTUVXYABCUWYZACDEGHJKMNOHJJLNOPRS-15.11.2016 5@07@003246740@@@@@E02B-A3A6.randomname-DFFGHHIIJKKLBCCDDEEEFFGHHIIIJZ.ABB"
      Попробывал расшифровать с помощью rectordecryptor, xoristdecryptor и rannohdecryptor. Не помогло. Проверил на вирусы с virus removal от kaspersky а так же с cureIt от Dr.Web. Все чисто. Логи утилити autologger прикрепляю как указанно в инструкции. Так же прикрепляю пару зашифрованных файлов с readme от мошеников . Спасибо за помощь и поддержку!
      CollectionLog-2016.11.16-10.54.zip
      vpupkin3@aol.comEncryptedFiles.zip
    • R4sh
      Зашифровались файлы
      Автор R4sh
      Весь компьютер зашифровался, так же базы 1С что очень важно
      После открытия и запуска файла с яндекс диска 24 ноября, ниже текст со ссылкой что прислали в письме
       
      "ВСЕХ!)...ВСЕХ!)...ВСЕХ!!!))ПРИГЛАШАЮ НА НАШУ СВАДЬБУ!!!МЫ ЖДЁМ ВАС В ЗАГСЕ В 14-00...
      ДАТА И АДРЕС РЕСТОРАНА здесь... https://yadi.sk/d/XnnoqQKSxGKSV              
       
      ДОРОГИЕ МOИ!!!...Приглашение Oткрывается Tолько на KОМПЕ и без него НЕ ПРOПУСТЯT В РЕСТОРАН!)...Приходите Всеее!!!)"
       
       
      Надеемся очень на Вашу помощь
      CollectionLog-2016.12.21-17.32.zip
    • Liberte
      Шифровальщик tatarian@india.com.ver-CL 1.3.1.0.id
      Автор Liberte
      Поймал шифровальщика. шифрует документы и базы 1c (1cd) 
      имена файлов примерно такие: email-tatarian@india.com.ver-CL 1.3.1.0.id-RTVYCEGJLNQSUWZBDFIKNORTWYACFHJLOQTU-09.12.2016 23@55@056371906@@@@@168B-F26F.randomname-NPSUYADFIKNORTWYBCFHKLOQTVXZCE.HKL.ppr (расширения файлов разные ) сам вирус отыскать не удалось, похоже, что имели удаленный доступ к ПК и почистили следы за собой. (антивирус endpoint 10)
      Cureit тоже ничего не нашел.
      файл readme содержит:
      ATTENTION! Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible. To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever! tatarian@india.com tatarian@india.com   Теневых копий нету.
      Лог прикрепляю, а также файлы зашифрованный и оригинальный.
      Есть ли способ восстановить.
      файлы в архиве files, пароль: files
      files.rar
      CollectionLog-2016.12.13-12.58.zip
      Addition.txt
      FRST.txt
    • яДмитрий
      расшифровка
      Автор яДмитрий
      прошёл год может изменилась ситуация 
      заражение было после открытия письма и на тот момент стоял антивирус аваст 
      прикрепляю логи
      CollectionLog-2016.12.09-22.37.zip
×
×
  • Создать...