Перейти к содержанию

По электронной почте пришло письмо с шифровальщиком

Чайник Тата
 Share

Рекомендуемые сообщения

Чайник Тата Новичок

Чайник Тата

Опубликовано
Опубликовано

По электронной почте пришло письмо с вложенным архивом двух счетов на оплату.  После открытия счетов на оплату были зашифрованы  файлы MS Office и PDF .

  Заражение произошло 23 января  2017 года ориентировочно в 7-40 утра.

Запуск утилиты Dr WEB устранил 1 угрозу.

Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.

А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zipRUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTMLreport2.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

YAC(Yet Another Cleaner!)

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\SFK\SSFK.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '');
 QuarantineFile('C:\Users\Дом\ms.exe', '');
 QuarantineFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Program Files\SFK\SSFK.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '32');
 DeleteFile('C:\Users\Дом\ms.exe', '32');
 DeleteFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '32');
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\program files\sfk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\S9519253','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Debugger 32','command');
 DeleteService('SSFK');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Чайник Тата Новичок

Чайник Тата

Опубликовано
  • Автор
Опубликовано

KLAN-5712212935

 

guarantine.zip[KLAN-5712212935]


Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML
Yаndех.lnk
browser.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.


Вот что получилось.


Здравствуйте, Sandor.

 

Простите, если сделала что то не так, я  слабый, да еще не молодой по возрасту пользователь.

Очень надеюсь на вашу помощь еще и в расшифровке.

Жду ответа.

ClearLNK-27.01.2017_17-03.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt

Еще это, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Чайник Тата Новичок

Чайник Тата

Опубликовано
  • Автор
Опубликовано

Хм...а у меня сформировался вот такой файл...


А еще через панель управления не удалились SpyHunter 4
YAC(Yet Another Cleaner!)

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

у меня сформировался вот такой файл

Правильно. Буква "х" означает - любая цифра.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...