Перейти к содержанию

Шифровальщик Spore Ransomware

Bohdan0601
 Поделиться

Рекомендуемые сообщения

Bohdan0601 Новичок

Bohdan0601

Опубликовано
Опубликовано

Здравствуйте! На ноутбуке в результате заражением вирусом, были зашифрованы все файлы. В браузере при включении ноутбука выбивало страницу с требованием заплатить деньги за расшифровку. 

Прилагаю логи:

 

CollectionLog-2017.02.11-01.36.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('IePluginServices');
 StopService('SMUpd');
 StopService('SMUpdd');
 StopService('WindowsMangerProtect');
 StopService('winzipersvc');
 StopService('{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w');
 DeleteService('IePluginServices');
 DeleteService('SMUpd');
 DeleteService('SMUpdd');
 DeleteService('WindowsMangerProtect');
 DeleteService('winzipersvc');
 DeleteService('{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w');
 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smp.exe','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smu.exe','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys','');
 QuarantineFileF('C:\Program Files\Common Files\Goobzo\GBUpdate', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\ShopperPro\updater.exe','');
 QuarantineFile('C:\Program Files\WinZipper\winzipersvc.exe','');
 QuarantineFile('C:\Program Files\winzipper\traydownloader.exe','');
 QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
 QuarantineFile('C:\ProgramData\SearchModule\smhe.js','');
 QuarantineFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFileF('C:\Users\Admin\appdata\roaming\aspackage', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Windows\system32\drivers\{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w.sys','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\BIZNES POLSKI.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\COSINUS.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\Documents.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\foto.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\RACHUNKOWOSC.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\TIZIA PARTNERS DAY.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\КАРТА ПОБЫТУ 2016-2019.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТО ДЛЯ ИНСТАГРАММ.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\Франшиза.lnk','');
 QuarantineFile('%temp%\3db12b750132f0fe.exe','');
 QuarantineFile('smu.exe','');
 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smp.exe','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smu.exe','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys','32');
 DeleteFile('C:\Program Files\ShopperPro\updater.exe','32');
 DeleteFile('C:\Program Files\WinZipper\winzipersvc.exe','32');
 DeleteFile('C:\Program Files\winzipper\traydownloader.exe','32');
 DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32');
 DeleteFile('C:\ProgramData\SearchModule\smhe.js','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SMW_UpdateTask_Time_333239333334343435342d414a34413734452a786c5a5a','32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32');
 DeleteFile('C:\Windows\system32\Tasks\Smp','32');
 DeleteFile('C:\Windows\system32\drivers\{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w.sys','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\BIZNES POLSKI.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\COSINUS.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\Documents.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\foto.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\RACHUNKOWOSC.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\TIZIA PARTNERS DAY.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\КАРТА ПОБЫТУ 2016-2019.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТО ДЛЯ ИНСТАГРАММ.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\Франшиза.lnk','32');
 DeleteFileMask('C:\Users\Admin\appdata\roaming\aspackage', '*', true, ' ');
 DeleteDirectory('C:\Users\Admin\appdata\roaming\aspackage');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\winzipersvc','EventMessageFile');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Bohdan0601 Новичок

Bohdan0601

Опубликовано
  • Автор
Опубликовано

KLAN-5776201859

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
smp.exe
traydownloader.exe
smhe.js
uninstall.exe
BIZNES POLSKI.lnk
COSINUS.lnk
Documents.lnk
foto.lnk
RACHUNKOWOSC.lnk
TIZIA PARTNERS DAY.lnk
КАРТА ПОБЫТУ 2016-2019.lnk
ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk
РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk
ФОТО ДЛЯ ИНСТАГРАММ.lnk
ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk
ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk
Безопасные платежи.lnk
CCleaner.lnk
Kaspersky Internet Security.lnk
Kaspersky Secure Connection.lnk
McAfee Security Scan Plus.lnk
Recuva.lnk
ShadowExplorer.lnk
Франшиза.lnk

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

AdwCleanerS0.txt

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сами ставили?

S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service"


  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
URLSearchHook: [S-1-5-21-3867086220-1370567827-4033020006-1000] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.delta-homes.com/?type=hp&ts=1419602168&from=wpm12262&uid=ST9320325AS_6VD33N3HXXXX6VD33N3H"
2017-02-07 16:06 - 2017-02-07 16:06 - 00000920 _____ C:\ProgramDataes.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000920 _____ C:\Program Files.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000916 _____ C:\UNISON-QUIK.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000914 _____ C:\TapinRadio.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000914 _____ C:\Miranda IM.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\PerfLogs.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\KMPlayer.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\Instalki.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000908 _____ C:\Windows.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\Фильмы.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\sh4ldr.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\NVIDIA.lnk
2017-02-07 16:06 - 2017-02-07 16:06 - 00000904 _____ C:\Users.lnk
2017-02-07 14:52 - 2017-02-07 14:52 - 00017232 _____ C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
2017-02-07 14:52 - 2017-02-07 14:52 - 00017232 _____ C:\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
2017-02-07 14:52 - 2017-02-07 14:52 - 00001088 _____ C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY
2017-02-07 14:49 - 2017-02-07 16:06 - 02322136 _____ C:\Users\Admin\AppData\Roaming\1580856562
2017-02-07 14:49 - 2017-02-07 16:06 - 2322136 _____ () C:\Users\Admin\AppData\Roaming\1580856562
2017-02-07 14:52 - 2017-02-07 14:52 - 0001088 _____ () C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY
2017-02-07 14:52 - 2017-02-07 14:52 - 0017232 _____ () C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION
Task: {4F703EAB-969D-48CB-B828-CB7180399D16} - \SMW_UpdateTask_Time_333239333334343435342d414a34413734452a786c5a5a -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Admin\Desktop\Rob stol\Documents\логопед.jpeg:3or4kl4x13tuuug3Byamue2s4b [77]
AlternateDataStreams: C:\Users\Admin\Desktop\Rob stol\Documents\логопед.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [246]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879 [246]
MSCONFIG\startupfolder: C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html => C:\Windows\pss\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html.Startup
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Bohdan0601 Новичок

Bohdan0601

Опубликовано
  • Автор
Опубликовано (изменено)

Ноутбук подруги, она не помнит, устанавливала ли эту программу.

Fixlog.txt

Изменено пользователем Bohdan0601
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • KL FC Bot
      Ландшафт ransomware в 2025 году и новые причины не платить
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
×
×
  • Создать...