Перейти к содержанию

Шифровальщик india.com

delmon
 Поделиться

Рекомендуемые сообщения

delmon Постоялец

delmon

Опубликовано
Опубликовано

Доброе время суток!

Поймал сервер шифровальщика email-handehoch@india.com.ver как не знаю ...можно что то сделать ??

 

И еще постоянно касперский удаляет файл mysqld-nt.exe откуда он берется?? 

CollectionLog-2017.02.02-19.51.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Проверьте эти файлы на virustotal

C:\SQL67.EXE
C:\USERS\ODV\DESKTOP\WINBOX.EXE
C:\WINDOWS\AAWKOO.EXE
C:\WINDOWS\SILLYR727_X.SO
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
Ссылка на комментарий
Поделиться на другие сайты
delmon Постоялец

delmon

Опубликовано
  • Автор
Опубликовано (изменено)

1. https://www.virustotal.com/ru/file/9e7d203f0be7efbb79fcbd67b5f6c862013cd75076737f2af7e96be143efc740/analysis/1486061287/

2. https://www.virustotal.com/ru/file/3cf01bddc0a5e149994384f6b889722393fb7514bf9d2481ebba079c7235124a/analysis/1486061736/ (утилита микротика вроде)

 

3. нет доступа Касперский говорит что вирус но не предлагает лечить

4. https://www.virustotal.com/ru/file/f00a466aaa65316758ed433ef6ee1bcfd393e37ec5f1bfe2d08d5615c31e0363/analysis/1486061901/

Изменено пользователем delmon
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg

unload %SystemRoot%\AAWKOO.EXE
zoo %SystemRoot%\AAWKOO.EXE
bl 09E8EA5CD15CB61FE1C0E1C0370B6A9C 51200
delall %SystemRoot%\AAWKOO.EXE
zoo %SystemDrive%\SQL67.EXE
bl 342C6E4992417483E9733921AEFC6C68 258048
delall %SystemDrive%\SQL67.EXE
unload %SystemRoot%\SILLYR727_X.SO
zoo %SystemRoot%\SILLYR727_X.SO
bl 6E4A04ADC7BC32BCA9B2D4D0F1A5DC8A 6144
delall %SystemRoot%\SILLYR727_X.SO
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su
  • Перезагрузите сервер, сделайте новый лог uVS
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %SystemRoot%\TERMS.EXE.EXE
addsgn 1A904F9A55835A8CF42BFB3A884BFE0DACF7007FFC02940D8948B8B4DB9B618DCA102851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 virus13

zoo %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT BGRHMQ\NNSSQOG.EXE
breg

delall %SystemRoot%\SILLYR201_X.SO
delall D:\MYSQL\DATA\MICROSOFT FILE.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMFORT_SERVER\PLUGINS\GL583_1.EEE
chklst
delvir

czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su
  • Перезагрузите сервер, сделайте новый лог uVS
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Пишет что на диске C:\sql...

На вопрос вы так и не ответили. Проверка файла https://www.virustotal.com/ru/file/ed2bed719e49a61903b2b971c2ef04c835a08e3c33162f0217328694df597524/analysis/1486392203/из 14 сообщения.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
×
×
  • Создать...