Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

Тоже столкнулся с этим зловредом. Произвёл чистку, но прошу опытному глазу помочь найти хвосты, если они остались.

 

Текст README1.txt

 

Вaшu фaйлы былu зашuфpовaны.
Чmoбы paсшuфpовamь uх, Baм необxодимо omnpавить код:
A4649D7A9AC375FE3674|0
нa элekтpoнный адреc yvonne.vancese1982@gmail.com .
Далее вы nолyчиmе всe нeoбходuмыe uнсmрyкциu.
Пonыmки paсшuфроваmь cамoстoяmeльно нe прuведyт ни k чему, kpoмe бeзвoзвратной nomepи инфоpмации.
Еслu вы вcё же xomитe nonыmаmьcя, mo пpедвaрuтeльнo сдeлайте pезepвные kоnиu фaйлoв, uнaче в слyчае
ux uзмeнения рaсшифpовka сmанет нeвозмoжной ни пpи каkиx ycловияx.
Еслu вы не nолучuли oтвеma no вышеуkазаннoмy адpеcy в mеченuе 48 чaсов (u тoлько в эmом cлучаe!),
воcпользуйmесь фopмой oбpатнoй cвязи. Эmo мoжнo сделaть двyмя cnоcобами:
1) Сkачайте u yстaновuте Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
В адреcнoй cтpоkе Tor Browser-а ввeдuтe aдpес:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. 3aгрузuтcя стрaнuца c формoй oбрamной cвязu.
2) B любoм брayзeре neрейдuте пo одномy из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A4649D7A9AC375FE3674|0
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Логи FRST64:

 

FRST.txt

Addition.txt

Опубликовано

В связи с выходными, решили снести пользователя со всеми данными (благо есть бэкапы как раз на такой случай), специалистам спасибо за внимание, не буду напрягать.

Опубликовано

Как оказалось, не всё так просто. После удаления пользователя и перезагрузки терминального сервера, зловред пролез и на админскую учетку. Много дел наделать не успел, был быстро прибит и удален левый csrss файл, но хвосты остались, судя по всему.

Прошелся AdwCleaner, лог прикрепил. После работы клинера и перезагрузки сервера прошелся KVRT (с перезагрузкой), затем утилитами FRST и AutoLogger. Всё в админской учетке. Просьба помочь с хвостами зловреда.

 

P.S. по нажатию кнопки Win - пустой экран, все иконки лончера пропали. Кусачая это вещь.

 

AdwCleanerC0.txt

AdwCleanerS0.txt

FRST.txt

Addition.txt

Shortcut.txt

CollectionLog-2016.12.24-01.08.zip

Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-12-23 23:19 - 2016-12-23 23:19 - 03932214 _____ C:\Users\a.elias\AppData\Roaming\8D62D1408D62D140.bmp
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README9.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README8.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README7.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README6.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README5.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README4.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README3.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README2.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README10.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README1.txt
2016-12-23 23:18 - 2016-12-23 23:18 - 00000000 __SHD C:\ProgramData\System32
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\services
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\Csrss
C:\Users\n.korostelev\AppData\Local\Temp\downloader.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Опубликовано

Воспользовался предложенным выше скриптом. Теперь не могу зайти на терминальный сервер из-за сбоя RLS. Ох дела.

Опубликовано

Из консоли, т.е. непосредственно на сервере войти в систему можете?

Опубликовано

Сервер арендован у лисвеба, физически расположен в Голландии.

Не подсоединяется ни рутовый, ни локальный админ. Написал в техподдержку лисвеба, будем думать.

Опубликовано

Вероятно совпадение, т.к. в скрипте ничего жизненно важного задето не было.

Опубликовано
Эти политики только влияют на возможность изменения настроек в браузерах.
Опубликовано

Удалось подсоединиться, хоть тп лисвеба и молчала. Судя по журналу винды ничего за это время с сервером не происходило. Мистика, короче.

Прикрепляю fixlog.

Fixlog.txt

Опубликовано

с хвостами зловреда.

- с этим всё.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...