Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

Тоже столкнулся с этим зловредом. Произвёл чистку, но прошу опытному глазу помочь найти хвосты, если они остались.

 

Текст README1.txt

 

Вaшu фaйлы былu зашuфpовaны.
Чmoбы paсшuфpовamь uх, Baм необxодимо omnpавить код:
A4649D7A9AC375FE3674|0
нa элekтpoнный адреc yvonne.vancese1982@gmail.com .
Далее вы nолyчиmе всe нeoбходuмыe uнсmрyкциu.
Пonыmки paсшuфроваmь cамoстoяmeльно нe прuведyт ни k чему, kpoмe бeзвoзвратной nomepи инфоpмации.
Еслu вы вcё же xomитe nonыmаmьcя, mo пpедвaрuтeльнo сдeлайте pезepвные kоnиu фaйлoв, uнaче в слyчае
ux uзмeнения рaсшифpовka сmанет нeвозмoжной ни пpи каkиx ycловияx.
Еслu вы не nолучuли oтвеma no вышеуkазаннoмy адpеcy в mеченuе 48 чaсов (u тoлько в эmом cлучаe!),
воcпользуйmесь фopмой oбpатнoй cвязи. Эmo мoжнo сделaть двyмя cnоcобами:
1) Сkачайте u yстaновuте Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
В адреcнoй cтpоkе Tor Browser-а ввeдuтe aдpес:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. 3aгрузuтcя стрaнuца c формoй oбрamной cвязu.
2) B любoм брayзeре neрейдuте пo одномy из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A4649D7A9AC375FE3674|0
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Логи FRST64:

 

FRST.txt

Addition.txt

Опубликовано

В связи с выходными, решили снести пользователя со всеми данными (благо есть бэкапы как раз на такой случай), специалистам спасибо за внимание, не буду напрягать.

Опубликовано

Как оказалось, не всё так просто. После удаления пользователя и перезагрузки терминального сервера, зловред пролез и на админскую учетку. Много дел наделать не успел, был быстро прибит и удален левый csrss файл, но хвосты остались, судя по всему.

Прошелся AdwCleaner, лог прикрепил. После работы клинера и перезагрузки сервера прошелся KVRT (с перезагрузкой), затем утилитами FRST и AutoLogger. Всё в админской учетке. Просьба помочь с хвостами зловреда.

 

P.S. по нажатию кнопки Win - пустой экран, все иконки лончера пропали. Кусачая это вещь.

 

AdwCleanerC0.txt

AdwCleanerS0.txt

FRST.txt

Addition.txt

Shortcut.txt

CollectionLog-2016.12.24-01.08.zip

Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-12-23 23:19 - 2016-12-23 23:19 - 03932214 _____ C:\Users\a.elias\AppData\Roaming\8D62D1408D62D140.bmp
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README9.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README8.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README7.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README6.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README5.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README4.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README3.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README2.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README10.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README1.txt
2016-12-23 23:18 - 2016-12-23 23:18 - 00000000 __SHD C:\ProgramData\System32
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\services
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\Csrss
C:\Users\n.korostelev\AppData\Local\Temp\downloader.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Опубликовано

Воспользовался предложенным выше скриптом. Теперь не могу зайти на терминальный сервер из-за сбоя RLS. Ох дела.

Опубликовано

Из консоли, т.е. непосредственно на сервере войти в систему можете?

Опубликовано

Сервер арендован у лисвеба, физически расположен в Голландии.

Не подсоединяется ни рутовый, ни локальный админ. Написал в техподдержку лисвеба, будем думать.

Опубликовано

Вероятно совпадение, т.к. в скрипте ничего жизненно важного задето не было.

Опубликовано
Эти политики только влияют на возможность изменения настроек в браузерах.
Опубликовано

Удалось подсоединиться, хоть тп лисвеба и молчала. Судя по журналу винды ничего за это время с сервером не происходило. Мистика, короче.

Прикрепляю fixlog.

Fixlog.txt

Опубликовано

с хвостами зловреда.

- с этим всё.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владислав Карачурин
      Автор Владислав Карачурин
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на диске С, там очень важная информация doc, для работы необходимая
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: P4KZRt7EoBBd3CY3I-2LQVM2OL+-M2MAoNoNujqrXEY=.97C2755E910EF2E38D31.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      97C2755E910EF2E38D31|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      97C2755E910EF2E38D31|0
      to e-mail address decode010@gmail.com или decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник https://yadi.sk/d/IhQEAOdqjHHBM  ; выложил тудазашифрованный файл, тхт созданный вирусом 
      Очень жду вашей помощи.
      Заранее огромное спасибо.
      CollectionLog-2015.09.24-01.32.zip
    • Алексей Байгашев
      Автор Алексей Байгашев
      Здравствуйте! Месяц назад принесли ноутбук мои знакомые, сказали что фотки не открываются, я посмотрел и увидел что они переименовались в формат *.xtbl проверил на вирусы, нашел примерно 5 штук, удалил. Потом почитал статью что их нельзя удалять, восстановил точку до того когда проверял на вирусы. Сейчас пишу Вам. Какие мои действия в данный момент?
      README8.txt
      ipc.log
    • falc0n
      Автор falc0n
      Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)
      README1.txt
      CollectionLog-2015.09.21-14.04.zip
    • tonytony
      Автор tonytony
      Здравствуйте, появились файлы README от 1 - 10 , в каждом таком файле один и тот же текст :
        Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: A73631ABC6FABAA73B13|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A73631ABC6FABAA73B13|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Что мне с этим делать?  Файлы которые нужно прикрепить вот они, надеюсь я правильно выполнил данную операцию  CollectionLog-2015.09.23-13.02.zip
    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
×
×
  • Создать...