Перейти к содержанию

Словил шифровальщика. Помогите разобраться

val35ru
 Share Подписчики 2

Рекомендуемые сообщения

val35ru

val35ru 0

Опубликовано
Опубликовано (изменено)

Добрый день. Словил похожего шифровальщика.

Помогите разобраться.

SRV_2017-02-06_10-25-52.7z

Изменено пользователем val35ru
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\system32\var.bat', '');
 ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

(Злоумышленника ищите среди тех, у кого был физический доступ к пострадавшему компьютеру).

Ссылка на сообщение
Поделиться на другие сайты
val35ru

val35ru 0

Опубликовано
  • Автор
Опубликовано

Ответ от newvirus@kaspersky.com:

 

Re: Карантин AVZ [KLAN-5747160720]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
var.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttp://www.viruslist.com"
 

 

 

Поломали скорее всего терминальную сессию.

 

Касперский выдал предупреждение о файле NTPassworder.exe

 

CollectionLog-2017.02.06-12.17.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Поломали скорее всего терминальную сессию

Вероятно нечто подобное было проделано.

 

Повторю:

ищите среди тех, у кого был физический доступ

Ссылка на сообщение
Поделиться на другие сайты
val35ru

val35ru 0

Опубликовано
  • Автор
Опубликовано

Т.е ничего не сделать? Связался с товарисчами, которые зашифровали все. Попросили 0,4 биткоина.

 

Кстати, при подключении по RDP начал писать что не удается проверить подлинность компьютера, раньше этого не было...

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4085971657-25008305-740204268-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4085971657-25008305-740204268-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com?cid={9531EC00-89E7-462C-A584-AF3EC0610E93}&mid=de42cb5748e947d2b7c61943ef6cc5ae-157a616528dc3db6ecf84b210552167d64bd7bc4&lang=ru&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-13 21:15:38&v=4.1.0.411&pid=wtu&sg=&sap=hp
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Связался с товарисчами, которые зашифровали все

Как связались? Был текст с требованием выкупа? В каком файле?
Ссылка на сообщение
Поделиться на другие сайты
val35ru

val35ru 0

Опубликовано
  • Автор
Опубликовано

Файлик с координатами был "с помощью в расшифровке". Написал письмо, прислали ответ. Помогут за 0,4 биткоина. Могу файлик скинуть.

Ссылка на сообщение
Поделиться на другие сайты
val35ru

val35ru 0

Опубликовано
  • Автор
Опубликовано

Фикслог. Файлик обычный, *.txt


файлик могу отправить в личку, чтобы не спугнуть товарисчей.


все файлы с расширением *.rar

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем
×
×
  • Создать...