Перейти к содержанию

шифровальщик gruzinrussian@aol.com

anoshkin
 Share

Рекомендуемые сообщения

anoshkin Новичок

anoshkin

Опубликовано
Опубликовано (изменено)

Добрый день

Очень прошу помочь

Подцепили на сервере троян, который зашифровал файлы 1c c расширением email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id-@@@@@0000-0028.randomname-EGHIIJJKLMMNNNOOPQQRRRSTTUUVWW.WXY.zza

 

Видел, что советуете запустить Farbar Recovery Scan Tool

Файлы с его выводом прилагаю


Или как можно самому понять, что нужно писать в fixlist?

И есть шансы расшифровать файлы?

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2017.03.13-13.06.zip

Изменено пользователем anoshkin
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\totalcmd\tr\csrs.exe', '');
 QuarantineFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', '');
 DeleteFile('C:\totalcmd\tr\csrs.exe', '32');
 DeleteFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\Run','TrayFactory');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\RunOnce','PSTF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}','command');
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Соберите и прикрепите свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
anoshkin Новичок

anoshkin

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил (комп после этого перезагрузился), но файлы cisBD6.exe и csrs.exe удалились, но в карантин не попали (архив имеет 0 байт)

Прилагаю всю папку, что осталось по пути c:\totalcmd

 


На всякий случай, прикладываю новую версию архив от AutoLogger

 

Логи из Farbar собираю сейчас


Новые логи из farbar прикладываю

totalcmd.rar

CollectionLog-2017.03.13-14.06.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем anoshkin
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл C:\Users\Elena.Marina-PK\Desktop\README.txt и парочку небольших зашифрованных упакуйте и прикрепите к следующему сообщению.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\Downloads\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Downloads\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Documents\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\LocalLow\README.txt
2017-03-12 12:38 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Local\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Все пользователи\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Public\Documents\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\ProgramData\README.txt
2017-03-12 11:54 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Desktop\README.txt
Task: {E71F5D48-4827-4EE0-8391-7071082933D6} - \Pokki -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
anoshkin Новичок

anoshkin

Опубликовано
  • Автор
Опубликовано

С рабочего стола отправляю

Этот скрипт сейчас запущу


Fixlog прилагаю, но как вижу, ничего не поменялось

Файлы еще зашифрованы

README.txt

Desktop.zip

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Мы пока только очистили следы.

Увы, помочь с расшифровкой не можем.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
anoshkin Новичок

anoshkin

Опубликовано
  • Автор
Опубликовано

Была необходимость быстрого получения файлов, поэтому пришлось заплатить хакеру

В результате чего, были получены следующие файлы для расшифровки

Может кому-то пригодяться

дешифратор.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • NikiGromel
      Помогите с шифровальщиком, может кто сталкивался
      От NikiGromel
      Сообщение от взломщика:
      YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.
      Your Decryption ID: 365B91AF
      Contact:
      - Email: opnkey@gmail.com
      - Telegram: @pcrisk
      Warning:  
      - Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
      - Don't Waste Time. The Price Will Rise If You Delay!
      Free Decryption:
      - Send 3 Small Files (Max 1MB) For Free Decryption.
       
      Прикрепляю два зашифрованных файла
      Desktop.rar
×
×
  • Создать...