Перейти к содержанию

Шифровщик. Файлы. Формат *.damage.


Рекомендуемые сообщения

Приветствую!

 

Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage 

Очень много фажных документов. Утилиты с сайта не помогли. 

Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта.

CollectionLog-2017.02.21-17.52.zip

Ссылка на комментарий
Поделиться на другие сайты

Образцы шифрованных файлов (лучше файлы doc или docx) выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за оперативность.

 

Вот ссылка на файлы формата doc и docx

https://yadi.sk/d/HV46sE8o3EM3Dw

https://yadi.sk/d/f7fz6P-F3EM38t

 

Отчёты прикреплены к сообщению.

FRST.zip

Изменено пользователем Alekskey
Ссылка на комментарий
Поделиться на другие сайты

Скорее всего машина пострадала по сети. Потому как здесь нет намека на сообщение вымогателей, а потому трудно соотнести с каким-то семейством. В конце файлов что-то похожее на ключ, причем визуально одинаковый. Нужно тело вируса пробовать искать

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, пока не помогло и это идентификации. Отправил вопрос иностранным вирусоборцам

 

Вопросы:

1. Вы из Санкт-Петербурга или это оттуда был вход?

Error: (02/21/2017 06:20:43 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

 

Error: (02/21/2017 05:48:17 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

2. Учетная запись C:\Users\Администратор.TPSRV010 Вам известна?

Ссылка на комментарий
Поделиться на другие сайты

Да, из Питера. IP 188.134.70.228  это нормальный адрес. Адрес центрального сервера.

Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.

Ссылка на комментарий
Поделиться на другие сайты

Администратор (S-1-5-21-4290617266-3126799162-502184550-500 - Administrator - Enabled) => C:\Users\Администратор.TPSRV010.000

 

Ну значит из нее и работали. Попробуйте сделать логи из под этой учетки. В том числе и лог FRST.txt 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте https://t.co/m2SQQZ84Xpи запустите от имени Администратора по правой кнорке мыши.

Выберите путь для сканирования C:\Users\Администратор.TPSRV010.000

В окне Option отметьте все доступные элементы, в oкне FileType выберите HTML

Нажмите Make List, заархивируйте полученный файл, выложите на Яндекс диск и пришлите ссылку

Ссылка на комментарий
Поделиться на другие сайты

Теперь просканируйте C:\Users\Администратор.TPSRV010\AppData

 

Visual Studio 2010 устанавливали когда-нибудь на этом компьютере?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Slimens
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Defa1t
      Автор Defa1t
      Обратился коллега с зашифрованными файлами 9F2B, при открытии файлов через блокнот открывается лист с вымогателем
      Addition.txt FRST.txt Файлы 9F2B.zip
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • DISPAWN
      Автор DISPAWN
      В АРХИВЕ ПРИМЕР ,ЧТО ДЕЛАТЬ?
      Release.txt.rar
       
      Сообщение от модератора thyrex Перенесено в нужный раздел
×
×
  • Создать...