Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

имена файлов зашифрованны something_ne@india.com_(id)

Vich
 Поделиться

Рекомендуемые сообщения

Vich

Vich

Опубликовано
Опубликовано

после выходных на рабочем компьютере, который остался включенным увидел что имена файлов приобрели вид:

 

something_ne@india.com_73657475702E696E69

 

на рабочем столе и в каждой папке присутствует файл:

 

HOW DECRIPT FILES.hta

 

Прочтя соседнюю тему воспользовался утилитой FRST64.

 

В прикрепленном addition, frst

 

Окажите помощь, в расшифровке.....

ransom.7z

Vich

Vich

Опубликовано
  • Автор
Опубликовано (изменено)

Результат выполнения AutoLogger-test в прикрепленном архиве.

 

drweb.cureit ничего не нашол......((((

 

Kaspersky Virus Removal Tool нашол 1 файл и поместил в карантин...

CollectionLog-2017.02.28-13.08.zip

Изменено пользователем Vich
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{790908E6-E58D-4D78-B953-E36A12981B37}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HOW DECRIPT FILES.hta', '');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{790908E6-E58D-4D78-B953-E36A12981B37}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HOW DECRIPT FILES.hta', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

thyrex

thyrex

Опубликовано
Опубликовано

Умудрились заразиться сразу двумя версиями одного вируса

 

+ Что в папках?

C:\totalcmd
C:\Intel
C:\$GetCurrent

 

  • Спасибо (+1) 1
Vich

Vich

Опубликовано
  • Автор
Опубликовано

ответ от newvirus@kaspersky.com  [KLAN-5895594029]:

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
{790908E6-E58D-4D78-B953-E36A12981B37}.tmp
{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp
{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp
{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp
HOW DECRIPT FILES.hta
HOW DECRIPT FILES_0.hta

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

 

Отчеты  FRST.txt, Addition.txt, Shortcut.txt  во вложении

Addition.txt

FRST.txt

Shortcut.txt

Vich

Vich

Опубликовано
  • Автор
Опубликовано (изменено)

 

Умудрились заразиться сразу двумя версиями одного вируса

 

+ Что в папках?

C:\totalcmd   

C:\Intel

C:\$GetCurrent

 

 

1- Total Commander 64 bit менеджер файлов...

2 - Логи после установки драйверов

3 - Логи после обновления на 10Вин

 

Знать-бы как/где умудрился? Вроде предохраняюсь...

Изменено пользователем Vich
thyrex

thyrex

Опубликовано
Опубликовано

Вход по RDP. Пароль смените.

 

В последних случаях с этим шифровальщиком на диске С появлялась папка Confused. Сам файл шифратора имел имя smsss.exe и при работе шифратора сам повреждался

Vich

Vich

Опубликовано
  • Автор
Опубликовано

Пароль заменю, не вопрос. Имена файлов расшифровать возможно?

thyrex

thyrex

Опубликовано
Опубликовано

Имена файлов расшифровываются просто в случае с something_ne@india.com - там каждый символ заменен его кодом в 16-тиричном представлении и в начале имени добавлена почта для связи. А вот содержимое похоже стало шифроваться.

Пришлите файлы

C:\Users\Mikhail\Downloads\something_ne@india.com_D180D0B5D181D0BE3035372E706466
C:\Users\Mikhail\something_ne@india.com_6E74757365722E696E69

 

и содержимое папки C:\Confused

thyrex

thyrex

Опубликовано
Опубликовано

Да, в этой версии файлы уже шифруются. В том числе и сам шифратор пострадал

thyrex

thyrex

Опубликовано
Опубликовано

Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла

2E706E67 (.png)

2E646F6378 (.docx)

2E6A7067 (.jpg)

Vich

Vich

Опубликовано
  • Автор
Опубликовано

Во вложении образцы.

MSfiice не пользуюсь.... OpenOffice если подскажите окончания имен файлов, выложу.

obraz_cript.7z

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vinny_b
      Шифровальщик-вымогатель биткоинов (something_ne@india.com)
      Автор vinny_b
      Товарищ на работе словил вышеуказанного зловреда.
      Просят 0,7 биткоинов: требования:
       
       
      Штатным Kaspersky Small Office был обнаружен и помещен в карантин единственный зашифрованный файл в папке "C:\Confused\folder". (архив virus.zip, пароль "virus").
      CollectionLog-2017.02.28-03.38.zip
    • xander21
      Файлы зашифрованы uncrypte@india.com
      Автор xander21
      К сожалению, не получается расшифровать. Программа пропускает файлы. Вот лог:
      41EC4F072318644D3074FF skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_6D94D9F33AF40A8098EAC9AC0A30FE57A3E0D6EB17DFFEB9DF109F303AF17858 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_8AF2E4BF1FFA56424B652F903338539EB8A6C0604C6259BCB1493EE77A493EB2 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_C21DC898EF12E9196792FA977AB7DE74 skipped
      [-] File: C:\Users\Alexander\Desktop\scrot\DeleteProcess_new\uncrypte@india.com_EEC76F7A1D7184C287D23999B88E19527E8419C66FBDFD2DCD858A145D909E26 skipped
       
      Successfully decrypted 0 files!
       
      Skipped 5 files
       

      Сообщение от модератора thyrex Выделено из темы https://forum.kasperskyclub.ru/index.php?showtopic=54305
    • elec3on
      Шифровальщик heineken@tuta.io...
      Автор elec3on
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем heineken@tuta.io_D0B2D0B5D0B4D0BED0BCD0BED181D182D18C2E786C73
      после @tuta.io значения разные.
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      CollectionLog-2018.06.09-10.28.zip
    • Monmak25
      Вирус-шифровальщик excaliburarthur@protonmail.com
      Автор Monmak25
      Всем доброго времени суток!
       
      Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).
       
      Второй email в сообщении: symbyosis@protonmail.com.
       
      Проверил KVRT - чисто.
      Запустил FRST и Autologger - собрал нужные логи.
       
      Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.
       
      Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.
       
       
      Прошу помощи с расшифровкой.
      406.rar
    • ivavasi
      Шифровальщик helps@tutanota.com 28.05.18
      Автор ivavasi
      Вирус шифровал с удаленного компьютера по RDP
      Зашифровал файлы  на сервере  в сетевых папках которые были доступны данному пользователю
      Доступа к зараженному компьютеру не имею.
      Пользователя заблокировал.
       
      Прикрепляю архив с логами и второй с парой зашифрованных файлов и readme.hta
       
      Возможно ли расшифровать файлы.
       
      С Уважением Иван.
       
       
      CollectionLog-2018.05.28-14.12.zip
      Шифровальщик helps@tutanota.com.zip
×
×
  • Создать...