Перейти к содержанию

Появился новый шифровщик

alesss
 Share Подписчики 0

Рекомендуемые сообщения

alesss

alesss 0

Опубликовано
Опубликовано

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка   ссылка удалена

появился txt документ в нем написано help50@yandex.ru

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные ссылки и файлы на форуме.
Ссылка на сообщение
Поделиться на другие сайты
alesss

alesss 0

Опубликовано
  • Автор
Опубликовано

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat


Источник заражения ссылка  


появился txt документ в нем написано help50@yandex.ru


 


CollectionLog-2017.04.30-12.15.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 616

Опубликовано
Опубликовано

Здравствуйте!

 

1) Перед созданием логов антивирус отключали?

 

2) Посмотрите, в этих папках что-нибудь есть?

C:\Program Files\Common Files\x1v5sn2l
C:\Program Files\Common Files\omtl4zfr
C:\Program Files\Common Files\oajnrtba
C:\Program Files\Common Files\k3i1rypi
C:\Program Files\Common Files\jop2b4bk
C:\Program Files\Common Files\jkzj3maf
C:\Program Files\Common Files\fj4n5pqo
C:\Program Files\Common Files\af0skagg
C:\Program Files\Common Files\5fmpydab
C:\Program Files\Common Files\1zcw0fne
C:\Program Files\Common Files\1gnl0mja

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updvte" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты
alesss

alesss 0

Опубликовано
  • Автор
Опубликовано

1) Перед созданием логов антивирус отключали?   Ответ Да

 

2) Посмотрите, в этих папках что-нибудь есть?  Ответ Да

C:\Program Files\Common Files\x1v5sn2l                                    там 39d86qgscjk2f.exe
C:\Program Files\Common Files\omtl4zfr                                            c8655wyyvoj24.exe
C:\Program Files\Common Files\oajnrtba                                            f936610iy24ms.exe    
C:\Program Files\Common Files\k3i1rypi                                            c5ab7ighs51to.exe 
C:\Program Files\Common Files\jop2b4bk                                          c89144mb5vu3v.exe
C:\Program Files\Common Files\jkzj3maf                                           89a6ebf3oytrl.exe  
C:\Program Files\Common Files\fj4n5pqo                                          7b0064thxk4g0.exe
C:\Program Files\Common Files\af0skagg                                         7c558bhqkxdup.exe
C:\Program Files\Common Files\5fmpydab                                        bc847r41djamt.exe
C:\Program Files\Common Files\1zcw0fne                                         14ae3xfnvojzh.exe
C:\Program Files\Common Files\1gnl0mja                                          2d0b73x0igl0d.exe

 

сейчас буду делать 3 пункт 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 616

Опубликовано
Опубликовано

 

 


Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению doc и txt
Нужен один и тот же файл в зашифрованном виде и его оригинал (до шифрования).
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 616

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\x1v5sn2l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\omtl4zfr', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\oajnrtba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\k3i1rypi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jop2b4bk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jkzj3maf', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\fj4n5pqo', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\af0skagg', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\5fmpydab', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1zcw0fne', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1gnl0mja', '*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [MegaFon_MegaFonInternet] C:\Program Files (x86)\MegaFon\MegaFon Internet\MegaFonInternet.exe /minimized (file missing) (HKLM) (2016/08/13)
O4 - MSConfig\startupreg: [Navitel Updater Auto Launcher] C:\Program Files (x86)\CNT\Navitel Navigator Update Center\NavitelUpdaterLauncher.exe (file missing) (HKLM) (2016/08/13)
O22 - Task (Disabled): posdoonioa - C:\Windows\system32\config\systemprofile\AppData\Local\Donflex /t 2038 2232 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - Task (Ready): \Microsoft\Windows\WindowsUpdater - C:\Users\Uzer\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

Программы/расширения от Mail.ru используете?
 

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
alesss

alesss 0

Опубликовано
  • Автор
Опубликовано

нашел только этот оригинал и зашифрованный файл 


Отправлено 5 минут назад

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
не удается выполнить

Ошибка скрипта: ')' expected, позиция [3:95]  

Griby_-_Taet_Led_(ringon.ru).mp3.rar

Griby_-_Taet_Led_(ringon.ru).rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Volandrei
      Шифровальщик вирус
      От Volandrei
      Здравствуйте, вирус шифровальщик попал на сервер, заплатил выкуп, прислали не рабочий ключ и дешифратор. в архиве ключ который прислали, дешифратор, и зашифрованные файлы. Записку потерял, но ид и емаил такой же как в сообщении.   Прикладываю ссылку на обменник. Архив   . 
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Spoke
      Помощь в разблокировке файлов шифровальщика
      От Spoke
      Вчера обнаружил у себя на компьютере зашифрованные файлы, записку с требованиями вымогателей [belgorod8712kozos@airmail.cc]
      Логи прикладываю, в архиве записка и примеры файлов
      Archive.rarAddition.txtFRST.txt
    • Legossi
      вирус-шифровальщик [5ops1rt3@tuta.io].LIZARD
      От Legossi
      Поймали вирус-шифровальщик [5ops1rt3@tuta.io].LIZARD
      Сканировал систему из под LiveUSB. KVRT при запуске выдал ошибку драйвера, drWeb CureIt запустился, обнаружил троянов, все были перемещены. Есть ли шанс восстановить данные?
      info.txt
    • klastercomp
      Зашифровались файлы в .ICQ@PIZZASUCKER
      От klastercomp
      Здравствуйте. На компьютере зашифровались все файлы в .ICQ@PIZZASUCKER. Просьба помочь в расшифровке. Логи и зашифрованные файлы в архиве
      отчет касперского.txt FRST.txt Addition.txt virus.zip
×
×
  • Создать...