Перейти к содержанию

Рекомендуемые сообщения

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка   ссылка удалена

появился txt документ в нем написано help50@yandex.ru

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные ссылки и файлы на форуме.
Ссылка на сообщение
Поделиться на другие сайты

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat


Источник заражения ссылка  


появился txt документ в нем написано help50@yandex.ru


 


CollectionLog-2017.04.30-12.15.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

1) Перед созданием логов антивирус отключали?

 

2) Посмотрите, в этих папках что-нибудь есть?

C:\Program Files\Common Files\x1v5sn2l
C:\Program Files\Common Files\omtl4zfr
C:\Program Files\Common Files\oajnrtba
C:\Program Files\Common Files\k3i1rypi
C:\Program Files\Common Files\jop2b4bk
C:\Program Files\Common Files\jkzj3maf
C:\Program Files\Common Files\fj4n5pqo
C:\Program Files\Common Files\af0skagg
C:\Program Files\Common Files\5fmpydab
C:\Program Files\Common Files\1zcw0fne
C:\Program Files\Common Files\1gnl0mja

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updvte" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

1) Перед созданием логов антивирус отключали?   Ответ Да

 

2) Посмотрите, в этих папках что-нибудь есть?  Ответ Да

C:\Program Files\Common Files\x1v5sn2l                                    там 39d86qgscjk2f.exe
C:\Program Files\Common Files\omtl4zfr                                            c8655wyyvoj24.exe
C
:\Program Files\Common Files\oajnrtba                                            f936610iy24ms.exe    
C
:\Program Files\Common Files\k3i1rypi                                            c5ab7ighs51to.exe 
C:\Program Files\Common Files\jop2b4bk                                          c89144mb5vu3v.exe
C
:\Program Files\Common Files\jkzj3maf                                           89a6ebf3oytrl.exe  
C
:\Program Files\Common Files\fj4n5pqo                                          7b0064thxk4g0.exe
C
:\Program Files\Common Files\af0skagg                                         7c558bhqkxdup.exe
C
:\Program Files\Common Files\5fmpydab                                        bc847r41djamt.exe
C
:\Program Files\Common Files\1zcw0fne                                         14ae3xfnvojzh.exe
C
:\Program Files\Common Files\1gnl0mja                                          2d0b73x0igl0d.exe

 

сейчас буду делать 3 пункт 

Ссылка на сообщение
Поделиться на другие сайты

 

 


Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению doc и txt
Нужен один и тот же файл в зашифрованном виде и его оригинал (до шифрования).
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\x1v5sn2l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\omtl4zfr', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\oajnrtba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\k3i1rypi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jop2b4bk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jkzj3maf', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\fj4n5pqo', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\af0skagg', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\5fmpydab', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1zcw0fne', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1gnl0mja', '*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [MegaFon_MegaFonInternet] C:\Program Files (x86)\MegaFon\MegaFon Internet\MegaFonInternet.exe /minimized (file missing) (HKLM) (2016/08/13)
O4 - MSConfig\startupreg: [Navitel Updater Auto Launcher] C:\Program Files (x86)\CNT\Navitel Navigator Update Center\NavitelUpdaterLauncher.exe (file missing) (HKLM) (2016/08/13)
O22 - Task (Disabled): posdoonioa - C:\Windows\system32\config\systemprofile\AppData\Local\Donflex /t 2038 2232 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - Task (Ready): \Microsoft\Windows\WindowsUpdater - C:\Users\Uzer\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

Программы/расширения от Mail.ru используете?
 

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

нашел только этот оригинал и зашифрованный файл 


Отправлено 5 минут назад

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
не удается выполнить

Ошибка скрипта: ')' expected, позиция [3:95]  

Griby_-_Taet_Led_(ringon.ru).mp3.rar

Griby_-_Taet_Led_(ringon.ru).rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Spoke
      От Spoke
      Вчера обнаружил у себя на компьютере зашифрованные файлы, записку с требованиями вымогателей [belgorod8712kozos@airmail.cc]
      Логи прикладываю, в архиве записка и примеры файлов
      Archive.rarAddition.txtFRST.txt
    • Legossi
      От Legossi
      Поймали вирус-шифровальщик [5ops1rt3@tuta.io].LIZARD
      Сканировал систему из под LiveUSB. KVRT при запуске выдал ошибку драйвера, drWeb CureIt запустился, обнаружил троянов, все были перемещены. Есть ли шанс восстановить данные?
      info.txt
    • klastercomp
      От klastercomp
      Здравствуйте. На компьютере зашифровались все файлы в .ICQ@PIZZASUCKER. Просьба помочь в расшифровке. Логи и зашифрованные файлы в архиве
      отчет касперского.txt FRST.txt Addition.txt virus.zip
    • Vitaly9367
      От Vitaly9367
      Доброго времени суток. 

      После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
      Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

      Прикрепляю данные с двух серверов.
      Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip
×
×
  • Создать...