Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик файлов doc, xls без изменения имени

kcpr.krsk
 Поделиться

Рекомендуемые сообщения

kcpr.krsk

kcpr.krsk

Опубликовано
Опубликовано

Пользователь получил подозрительное письмо с вложенным архивом. Архив сохранил на диск, проверил Касперским (KES 10 mr3, базы свежие). Касперский вирусы не обнаружил. После этого открыл архив на просмотр -  внутри файл с двойным расширением *.doc.hta.  Разархивировать и запускать файл не стал, архив удалил.  Но позже на машине и в сети еще на одной машине и двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.

На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   

На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)

Выкладываю логи с одной машины.

По серверам делать отдельные темы?

 

CollectionLog-2017.01.18-20.48.zip

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

1 компьютер - 1 тема.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png Изменено пользователем mike 1
kcpr.krsk

kcpr.krsk

Опубликовано
  • Автор
Опубликовано (изменено)

Можно сразу делать запрос через корпоративный личный кабинет?

Addition.txt

FRST.txt

Изменено пользователем kcpr.krsk
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Делайте. Часть данных можете вытащить из теневых копий, но данные копируйте на флешку.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\Users\kcpr57\AppData\Roaming\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
2017-01-18 12:44 - 2017-01-18 13:10 - 33621560 _____ C:\Users\kcpr57\AppData\Roaming\675088532
File: C:\Program Files\Talker.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
kcpr.krsk

kcpr.krsk

Опубликовано
  • Автор
Опубликовано

Доброго дня.

Talker.exe - старая-старая программка для чата в локальной сети. Сейчас - не используется.

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

Я ее не удалял. Просто вывел в отчете более детальную информацию по этому файлу.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      Автор Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • kseninon
      Поймала шифровальщика, как восстановить файлы?
      Автор kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • nuk-nuk
      Зашифровали файлы и очистили яндекс диск =(
      Автор nuk-nuk
      Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =(
       
      исходные.rar Зашифрованные.rar Addition.txt FRST.txt
    • nel
      Шифровальшик GFANXf9LM
      Автор nel
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы. После обнаружения, что файлы зашифрованы, диск переставил в другую машину. Ко всем файлам добавляется расширение «GFANXf9LM». В архиве прилагаю три зашифрованных файла, файл с описанием и один оригинальный файл (до шифрования).
      Спасибо за внимание.
      GFANXf9LM.7z
    • nsgdima
      Взломали RDP и зашифровали большую часть дисков
      Автор nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
×
×
  • Создать...