Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Вирус шифровальщик [mk.goro@aol.com].wallet

creator10
 Поделиться

Рекомендуемые сообщения

creator10

creator10

Опубликовано
Опубликовано

Здравствуйте,

вирус зашифровал все файлы на компьютере,

в файлы добавил расширение  [mk.goro@aol.com].wallet

 

Нужно расшифровать только несколько несколько очень важных файлов,

помогите пожалуйста!

 

Sandor

Sandor

Опубликовано
Опубликовано

+

Прикрепите парочку небольших зашифрованных файлов и текст вымогателя в архиве.

creator10

creator10

Опубликовано
  • Автор
Опубликовано

Извините, вот нужные данные:

 

По результатам проверки программой KVRT обнаружено:

HEUR:Trojan.Win32.Generic

RiskTool.Win32.Generic

HackTool.Win32.BruteForce.pma

 

По результатам проверки DrWeb CureIt обнаружено:

Trojan.Encoder.10317

Trojan.BtcMine.1065

Tool.Bruteforce.185

 

Сборщик логов на одном из этапов выдал ошибку (см. скрин), но архив с логами сформировал (приложил).

 

Зашифрованные файлы приложил.

 

CollectionLog-2017.03.06-12.39.zip

post-44488-0-60755300-1488793392_thumb.png

ЗашифрованныеФайлы.zip

Hello my vichtim.txt

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\users\timofeeva_s\desktop\subaru.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','subaru.exe');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

creator10

creator10

Опубликовано
  • Автор
Опубликовано

я выполнил скрипт и перезагрузился.

И все данные, которые были в том числе сборщик логов и quarantine.zip 

зашифровались шифровщиком,

что делать, начать все с начала?

Sandor

Sandor

Опубликовано
Опубликовано

Виноват, я пропустил. Да, скачайте Автологер и соберите новый CollectionLog.

creator10

creator10

Опубликовано
  • Автор
Опубликовано

Сейчас при попытке запустить Автологгер выдает 

Вы запустили сборщик логов из терминальной сессии RDP-Tcp#0

Пожалуйста запустите сборщик логов из консоли.

 

Что нужно сделать?

Sandor

Sandor

Опубликовано
Опубликовано

А предыдущий Вы тоже запускали из терминальной сессии? Желательно собрать логи, запустив именно из консоли, т.е. непосредственно на сервере.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\windows\system32\subaru.exe');
 TerminateProcessByName('C:\Windows\System32\NsCCN.exe');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\NsCCN.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\subaru.exe', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '');
 DeleteFile('C:\Windows\System32\NsCCN.exe','32');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\subaru.exe', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','subaru.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
creator10

creator10

Опубликовано
  • Автор
Опубликовано (изменено)

файлы FRST.txtAddition.txtShortcut.txt приложил.

 

 

ответ с newvirus@kaspersky.com

 

файл quarantine [KLAN-5924984941]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
Info.hta
Info_0.hta
Info_1.hta
Info_2.hta
Info_3.hta

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
NsCCN.exe - not-a-virus:RiskTool.Win32.Generic

В файлах найдены вредоносные программы
subaru.exe - HEUR:Trojan.Win32.Generic
subaru_0.exe - HEUR:Trojan.Win32.Generic
subaru_1.exe - HEUR:Trojan.Win32.Generic
subaru_2.exe - HEUR:Trojan.Win32.Generic

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем creator10
Sandor

Sandor

Опубликовано
Опубликовано

Профиль

C:\Users\nfhfrfy

создавался Вами сознательно?

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\Windows\System32\nssm.exe
() C:\Windows\System32\NsCCN.exe
GroupPolicyScripts: Restriction <======= ATTENTION
2017-03-06 04:22 - 2016-09-02 19:17 - 02594816 _____ C:\Windows\system32\NsCCN.exe
2017-03-06 04:22 - 2014-08-31 16:34 - 00331264 _____ C:\Windows\system32\nssm.exe
2017-03-05 19:27 - 2017-03-06 15:05 - 00013913 _____ C:\Windows\system32\Info.hta
2017-03-05 19:27 - 2017-03-06 15:05 - 00000214 _____ C:\Hello my vichtim.txt
2017-03-05 19:24 - 2017-03-06 14:58 - 00094720 _____ C:\Windows\system32\subaru.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Соберите свежие логи FRST.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...