Перейти к содержанию

Шифровальщик из почты... неизвестно какой

Игорь Вовченко

От Игорь Вовченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Игорь Вовченко Новичок

Игорь Вовченко

Опубликовано
Опубликовано

При активном KIS2017 была попытка открыть zip файл из почты.

Файл не открылся, а у пользователя перестали открываться doc, xls, pdf

Файлов вымогателя на дисках не обнаружено.

KIS в отчете говорит, что удалены:

16.01.2017 09.49.27;Обнаруженный объект (память процесса) удален;c:\users\пользователь\appdata\local\temp\goodtdeaasdgb54.exe;c:\users\пользователь\appdata\local\temp\goodtdeaasdgb54.exe;;Неизвестный объект;01/16/2017 09:49:27
16.01.2017 09.49.27;Обнаруженный объект (память процесса) удален;c:\users\пользователь\downloads\счт к оплате_заказ (1309.45)\перечень документов от 16 января 2017 года. составил и подписал главный бухгалтер. для печати_1c.4292779_txt.hta;c:\users\пользователь\downloads\счт к оплате_заказ (1309.45)\перечень документов от 16 января 2017 года. составил и подписал главный бухгалтер. для печати_1c.4292779_txt.hta;PDM:Trojan.Win32.Generic;Другая вредоносная программа;01/16/2017 09:49:27
 
Письмо с трояном пока не удалено.
Прошу помочь с расшифровкой
Прикладываю лог и один  документ из испорченных
 

CollectionLog-2017.01.17-14.12.zip

CollectionLog-2017.01.17-14.12.zip

Price-list вагонка.doc

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Настройка прокси

ProxyServer = 169.254.60.221:8080

Ваша?

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Игорь Вовченко Новичок

Игорь Вовченко

Опубликовано
  • Автор
Опубликовано

на локальных дисках появился скрытый файл похожий на ключ 

время создания подходит ко времени запуска трояна и времени изменения файлов


прокси наш

скрытый файл появившийся на дисках.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Игорь Вовченко Новичок

Игорь Вовченко

Опубликовано
  • Автор
Опубликовано

В adwсleaner очистить делал при первом сканировании.

Запустил второй раз с очисткой указанных опций.

Отчеты прилагаю.


Отчеты farbar

AdwCleanerC0.txt

AdwCleanerC2.txt

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR DefaultSearchURL: Default -> hxxp://extension-search.online/?q={searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://extension-search.online/suggest/get?part={searchTerms}
CHR Extension: (Стартовая — Яндекс) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcghcdjnehpkdecaflpedhklimnejia [2016-12-01]
CHR Extension: (Yandex) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbpnbonnhilfdihhodnflcplajklibbc [2016-12-01]
CHR Extension: (Яндекс) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-12-01]
2017-01-16 09:24 - 2017-01-16 09:24 - 00001088 ___RH C:\Users\Пользователь\Desktop\RU73D-53FHG-FTAEX-TZTXG-FGATK-KKRTX-OGHYY.KEY
2017-01-16 09:24 - 2017-01-16 09:24 - 00001088 ___RH C:\Users\Пользователь\AppData\Roaming\RU73D-53FHG-FTAEX-TZTXG-FGATK-KKRTX-OGHYY.KEY
2017-01-16 09:24 - 2017-01-16 09:24 - 00001088 ___RH C:\RU73D-53FHG-FTAEX-TZTXG-FGATK-KKRTX-OGHYY.KEY
2017-01-16 09:23 - 2017-01-16 09:25 - 05883816 _____ C:\Users\Пользователь\AppData\Roaming\4175513623
C:\Users\Пользователь\AppData\Local\Temp\adsblock_inst.exe
C:\Users\Пользователь\AppData\Local\Temp\orbspeeddial.exe
C:\Users\Пользователь\AppData\Local\Temp\searchext.exe
C:\Users\Пользователь\AppData\Local\Temp\{46B795FF-442A-46BA-84B7-FDE4261EB393}.exe
Task: {D2F79B7B-8E49-403E-A828-FD75E67197CC} - System32\Tasks\MailRuUpdateTask => C:\Users\Пользователь\AppData\Local\Mail.Ru\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Игорь Вовченко Новичок

Игорь Вовченко

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь!

 от поддержки получен ответ:

>Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Spora.
>К сожалению, расшифровать файлы невозможно.

 

Это приговор или можно еще куда обратиться?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      От Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
×
×
  • Создать...