Перейти к содержанию

Вирус шифровальщик email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id

Biletservis
 Поделиться

Рекомендуемые сообщения

Biletservis

Biletservis

Опубликовано
Опубликовано

Добрый день!

На машине стоял белый айпишник со включенным RDP. В обед 27.12.2017 ряд файлов зашифровались и имеют примерно следующий вид email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@0228-4907.randomname...IJJJKLMNOO.QRS. Во вложении логи Farbar Recovery Scan Tool (FRST.txt, Addition.txt) и логи AutoLogger.
Прошу помочь.

logs.zip

AutoLogger_CollectionLog-2017.01.28-16.28.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_14_21.dmp [84086]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_14_57.dmp [84489]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_15_34.dmp [84085]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_912_tid_xF60_2016_12_20_18_39_8.dmp [1410792]
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Попробуйте найти пару - зашифрованный/не зашифрованный - небольших файлов, упакуйте и прикрепите к следующему сообщению.

Если есть текст вымогателей, тоже прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
Biletservis

Biletservis

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_14_21.dmp [84086]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_14_57.dmp [84489]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_2160_tid_xE54_2016_3_25_11_15_34.dmp [84085]
AlternateDataStreams: C:\Monitor:_minidump_default_pid_912_tid_xF60_2016_12_20_18_39_8.dmp [1410792]
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Попробуйте найти пару - зашифрованный/не зашифрованный - небольших файлов, упакуйте и прикрепите к следующему сообщению.

Если есть текст вымогателей, тоже прикрепите.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Попробуйте найти пару - зашифрованный/не зашифрованный - небольших файлов, упакуйте и прикрепите к следующему сообщению. Если есть текст вымогателей, тоже прикрепите.

Не нашли?
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
×
×
  • Создать...