Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус шифровальщик - все зашифровано с расширением *.Crypt

Va.all
 Поделиться

Рекомендуемые сообщения

Va.all Новичок

Va.all

Опубликовано
Опубликовано

Добрый день.

 

На рабочем сервере обнаружен вирус шифровальщик.

Нужно восстановить базы данных рабочих программ.

ВО вложении ЛОГ от сборщика.

Также файл требование +  зашифрованный файл.

 

CollectionLog-2017.01.08-12.54.zip

Фаил с требованием.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Логи переделывайте после полной проверки KVRT. Сервер просто кишит вирусами. + Все ваши пароли уже у злоумышленников.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
Va.all Новичок

Va.all

Опубликовано
  • Автор
Опубликовано

Почистил компьютер KVRT. Дважды. Во второй раз вирусов не обнаружено.

Запустил сборщик логов.

Логи во вложении.

 

ЧТо мне делать дальше.


Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

CollectionLog-2017.01.08-16.54.zip

Оригинал и Зараженный.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('WindowsDefender');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Администратор)','64');
ExecuteSysClean;
end.
Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

Поищите другие типы файлов размером более 100 КБ.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Ссылка на комментарий
Поделиться на другие сайты
Va.all Новичок

Va.all

Опубликовано
  • Автор
Опубликовано

скан выполнен.

Во вложении лог.

 


Насчет других файлы размером более 100кб проблематично искать - они весят минимум 15-20 МБ. Сюда не влезут.

лог антивируса.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Загрузите файлы на Яндекс диск, а здесь дайте ссылку на файлы.
 
Удалите в MBAM все, кроме:
 

Процесс: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Модуль: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Раздел реестра: 4
PUP.Optional.RAAmmyy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AmmyyAdmin, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.951

Значение реестра: 1
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [371], [352776],1.0.951

Файл: 2622
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE, Проигнорировано пользователем, [371], [352776],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [371], [352776],1.0.951

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Ссылка на комментарий
Поделиться на другие сайты
Va.all Новичок

Va.all

Опубликовано
  • Автор
Опубликовано

Добрый день.

Почистил.во вложении лог  антивируса + автолог.

Чистка от вирусов это конечно хорошо, но реально ли восстановить (дешифровать) файлы?

 

вот ссылка на оригинал и шифрованный - https://yadi.sk/d/VpV44RCn387kFD

CollectionLog-2017.01.10-09.39.zip

ЛОГ.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Может и реально если файлы подходящие пришлете для подбора ключа.

 

Написал же что оставить, а что удалить, нет все равно делают все по своему.

 

Исполняемые файлы не нужны, ищите пару среди офисных документов, ярлыков или pdf файлов.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

×
×
  • Создать...