Перейти к содержанию

Появился новый шифровщик

alesss
 Share

Рекомендуемые сообщения

alesss Новичок

alesss

Опубликовано
Опубликовано

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка   ссылка удалена

появился txt документ в нем написано help50@yandex.ru

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные ссылки и файлы на форуме.
Ссылка на комментарий
Поделиться на другие сайты
alesss Новичок

alesss

Опубликовано
  • Автор
Опубликовано

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat


Источник заражения ссылка  


появился txt документ в нем написано help50@yandex.ru


 


CollectionLog-2017.04.30-12.15.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

 

1) Перед созданием логов антивирус отключали?

 

2) Посмотрите, в этих папках что-нибудь есть?

C:\Program Files\Common Files\x1v5sn2l
C:\Program Files\Common Files\omtl4zfr
C:\Program Files\Common Files\oajnrtba
C:\Program Files\Common Files\k3i1rypi
C:\Program Files\Common Files\jop2b4bk
C:\Program Files\Common Files\jkzj3maf
C:\Program Files\Common Files\fj4n5pqo
C:\Program Files\Common Files\af0skagg
C:\Program Files\Common Files\5fmpydab
C:\Program Files\Common Files\1zcw0fne
C:\Program Files\Common Files\1gnl0mja

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updvte" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
alesss Новичок

alesss

Опубликовано
  • Автор
Опубликовано

1) Перед созданием логов антивирус отключали?   Ответ Да

 

2) Посмотрите, в этих папках что-нибудь есть?  Ответ Да

C:\Program Files\Common Files\x1v5sn2l                                    там 39d86qgscjk2f.exe
C:\Program Files\Common Files\omtl4zfr                                            c8655wyyvoj24.exe
C:\Program Files\Common Files\oajnrtba                                            f936610iy24ms.exe    
C:\Program Files\Common Files\k3i1rypi                                            c5ab7ighs51to.exe 
C:\Program Files\Common Files\jop2b4bk                                          c89144mb5vu3v.exe
C:\Program Files\Common Files\jkzj3maf                                           89a6ebf3oytrl.exe  
C:\Program Files\Common Files\fj4n5pqo                                          7b0064thxk4g0.exe
C:\Program Files\Common Files\af0skagg                                         7c558bhqkxdup.exe
C:\Program Files\Common Files\5fmpydab                                        bc847r41djamt.exe
C:\Program Files\Common Files\1zcw0fne                                         14ae3xfnvojzh.exe
C:\Program Files\Common Files\1gnl0mja                                          2d0b73x0igl0d.exe

 

сейчас буду делать 3 пункт 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению doc и txt
Нужен один и тот же файл в зашифрованном виде и его оригинал (до шифрования).
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\x1v5sn2l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\omtl4zfr', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\oajnrtba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\k3i1rypi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jop2b4bk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jkzj3maf', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\fj4n5pqo', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\af0skagg', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\5fmpydab', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1zcw0fne', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1gnl0mja', '*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [MegaFon_MegaFonInternet] C:\Program Files (x86)\MegaFon\MegaFon Internet\MegaFonInternet.exe /minimized (file missing) (HKLM) (2016/08/13)
O4 - MSConfig\startupreg: [Navitel Updater Auto Launcher] C:\Program Files (x86)\CNT\Navitel Navigator Update Center\NavitelUpdaterLauncher.exe (file missing) (HKLM) (2016/08/13)
O22 - Task (Disabled): posdoonioa - C:\Windows\system32\config\systemprofile\AppData\Local\Donflex /t 2038 2232 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - Task (Ready): \Microsoft\Windows\WindowsUpdater - C:\Users\Uzer\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

Программы/расширения от Mail.ru используете?
 

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
alesss Новичок

alesss

Опубликовано
  • Автор
Опубликовано

нашел только этот оригинал и зашифрованный файл 


Отправлено 5 минут назад

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
не удается выполнить

Ошибка скрипта: ')' expected, позиция [3:95]  

Griby_-_Taet_Led_(ringon.ru).mp3.rar

Griby_-_Taet_Led_(ringon.ru).rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • sputnikk
      Появились многочисленные запросы в друзья на Facebook.
      От sputnikk
      Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
      Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
       
      Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника"
    • donzolll
      [РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw. uTorrent.pro. Появилась после загрузки игры
      От donzolll
      Антивирус вылечить не можетCollectionLog-2024.10.28-09.15.zip
    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
×
×
  • Создать...