Перейти к содержанию

Шифровщик. Файлы. Формат *.damage.


Рекомендуемые сообщения

Приветствую!

 

Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage 

Очень много фажных документов. Утилиты с сайта не помогли. 

Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта.

CollectionLog-2017.02.21-17.52.zip

Ссылка на сообщение
Поделиться на другие сайты

Образцы шифрованных файлов (лучше файлы doc или docx) выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо за оперативность.

 

Вот ссылка на файлы формата doc и docx

https://yadi.sk/d/HV46sE8o3EM3Dw

https://yadi.sk/d/f7fz6P-F3EM38t

 

Отчёты прикреплены к сообщению.

FRST.zip

Изменено пользователем Alekskey
Ссылка на сообщение
Поделиться на другие сайты

Скорее всего машина пострадала по сети. Потому как здесь нет намека на сообщение вымогателей, а потому трудно соотнести с каким-то семейством. В конце файлов что-то похожее на ключ, причем визуально одинаковый. Нужно тело вируса пробовать искать

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, пока не помогло и это идентификации. Отправил вопрос иностранным вирусоборцам

 

Вопросы:

1. Вы из Санкт-Петербурга или это оттуда был вход?

Error: (02/21/2017 06:20:43 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

 

Error: (02/21/2017 05:48:17 PM) (Source: TermDD) (EventID: 56) (User: )

Description: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.

IP-адрес клиента: 188.134.70.228.

2. Учетная запись C:\Users\Администратор.TPSRV010 Вам известна?

Ссылка на сообщение
Поделиться на другие сайты

Да, из Питера. IP 188.134.70.228  это нормальный адрес. Адрес центрального сервера.

Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.

Ссылка на сообщение
Поделиться на другие сайты
Администратор (S-1-5-21-4290617266-3126799162-502184550-500 - Administrator - Enabled) => C:\Users\Администратор.TPSRV010.000

 

Ну значит из нее и работали. Попробуйте сделать логи из под этой учетки. В том числе и лог FRST.txt 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте https://t.co/m2SQQZ84Xpи запустите от имени Администратора по правой кнорке мыши.

Выберите путь для сканирования C:\Users\Администратор.TPSRV010.000

В окне Option отметьте все доступные элементы, в oкне FileType выберите HTML

Нажмите Make List, заархивируйте полученный файл, выложите на Яндекс диск и пришлите ссылку

Ссылка на сообщение
Поделиться на другие сайты

Теперь просканируйте C:\Users\Администратор.TPSRV010\AppData

 

Visual Studio 2010 устанавливали когда-нибудь на этом компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Rusyan
      От Rusyan
      Добрый день.
      Помогите опознать вирус-шифровальщик. Файлы имеют расширение doome7Ei
      Ежедневные задания по работам.rar
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить?
       
    • localhost
      От localhost
      Добрый день!

      Подскажите, возможно ли что-то сделать с данным типом шифровальщика. Достать логи через FRST на данный момент не представляется возможным, если получится вытащить - прикреплю в постах ниже.
       
      1. Soft - Ярлык.lnk.id[6C99500F-2899].[update2020@airmail.cc].rar AnyDesk.exe.id[6C99500F-2899].[update2020@airmail.cc].rar
    • ksiva1967
      От ksiva1967
      Добрый день! На сервер проник вирус-шифровальщик. произошло шифрование файлов и деструкция тела сервера, вирус пытался выполнить шифрование удалённых ПК. Сервер отсекли от локалки, провели лечение Dr.Web LiveDisk, обнаружено тело вируса - fast.exe,  Dr.Web идентифицировал его как trojan.click3.31128. Просим помощи в дешифровке файлов. Заранее спасибо!
      Шифрованные файлы и требования вымогателей.zip LOG FILES FRST.ZIP
    • ches66
      От ches66
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip
      FRST.zip
    • aleksturbo
      От aleksturbo
      Всем добрый день.
      Зловред зашифровал все полезные файлы - на выходе файлы вида Текстовый документ.txt_[ID-9F2KW_Mail-cryhelp45@gmail.com].BJP
      Помогите с подбором лекарства
      Текстовый документ.txt_[ID-9F2KW_Mail-cryhelp45@gmail.com].BJP.zip
×
×
  • Создать...