Перейти к содержанию

Шифровщик-вымогатель .сrypter000007

FixMePlz
 Share Подписчики 0

Рекомендуемые сообщения

FixMePlz

FixMePlz 0

Опубликовано
Опубликовано (изменено)

Доброго времени суток! Было открыто письмо в стиле "оплатите задолженность". В нем был архив-троян(ы), Trojan Filecoder UPX, Trojan Fake MS, Ransom.Troldesh, Backdoor.BIFrose (были помещены в карантин). Потом упал explorer.exe, после перезапуска системы все данные были зашифрованы с расширением .crypted000007. И были созданы txt-шники:  

 

"Baши фaйлы былu зaшuфpованы.

Чmобы pасшuфpoвaть их, Bам неoбxoдuмо omпрaвumь kод:
5D53D99D4882C54033D0|0
нa элekтpонный aдрec gervasiy.menyaev@gmail.com ."
 
Было перепробовано множество декрипторов которые не дали позитивный результат.
 
Прикрепляю логи сделаны FRST64.
 
Зарание благодарен за любую помощь!

FRST64_log.rar

CollectionLog-2017.05.03-11.34.zip

Изменено пользователем FixMePlz
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Удалите IObit через установку программ в панели управления.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\services\csrss.exe','');
 QuarantineFileF('C:\ProgramData\services', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 DeleteFile('C:\ProgramData\services\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Ссылка на сообщение
Поделиться на другие сайты
FixMePlz

FixMePlz 0

Опубликовано
  • Автор
Опубликовано
 Ответ:

KLAN-6191760581

Thank you for contacting Kaspersky Lab

 

The files have been scanned in automatic mode.

 

Malicious code has been detected in the following files:

csrss.exe - Trojan.Win32.Agent.nezeod

csrss_0.exe - Trojan-Ransom.Win32.Agent.ivl

csrss_1.exe - HEUR:Trojan.Win32.Generic

 


We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408"
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
U0 aswVmm; no ImagePath
2017-05-02 17:51 - 2017-05-02 17:51 - 00000000 ____D C:\Users\11111\AppData\Roaming\IObit
2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\services
2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\services
2017-05-02 14:11 - 2017-05-02 14:11 - 03932214 _____ C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README9.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README8.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README7.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README6.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README5.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README4.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README3.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README2.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README10.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README1.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README9.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README8.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README7.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README6.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README5.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README4.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README3.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README2.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README10.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README9.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README8.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README7.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README6.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README5.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README4.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README3.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README2.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README10.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README1.txt
2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\Users\Админ\Documents\ghj
2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\ProgramData\ProductData
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\Roaming\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\LocalLow\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\ProgramData\IObit
2017-05-02 14:11 - 2017-05-02 14:11 - 3932214 _____ () C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
Folder: C:\ProgramData\Drivers
Task: {765E22DF-9DAA-4462-BFB3-B7869FEBF741} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
MSCONFIG\startupreg: Client Server Runtime Subsystem =>
MSCONFIG\startupreg: CSRSS =>
MSCONFIG\startupreg: Windows Session Manager =>
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
2017-05-02 15:17 - 2017-05-02 15:17 - 1012224 ___SH () C:\Users\Админ\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
djowl

djowl 0

Опубликовано
Опубликовано

Добрый день! Вера пользователь в деканате подцепил вирус путем перехода по ссылке присланного письма так называемого счета. Троян вымогатель .crypted000007. Однако без всяких требований... Но суть остается той же зашифровал порядком файлов на компе. Нужна помощь в дешифровке. К письму прилагаю архив с файлами: Лог системы, принскрин письма, в файле запуск вируса - ссылка перехода на вирус, лог malwarebytes, лог FRST, лог [/size]ClearLNK и пару зашифрованных файлов. Буду благодарен всякой помощи![/size]
 
P.S. Прошу прощение если нарушил какие-нибудь правила оформления. С уважением D.[/size]

 

Сообщение от модератора Mark D. Pearlstone
Не пишите в чужих темах раздела. Не прикрепляйте вредоносные и потенциально вредоносные файлы и ссылки на них на форум. Создайте свою тему и выполните правила раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Алексей Шулепов
      Шифровальщик
      От Алексей Шулепов
      Добрый вечер, с 7 на 8 июля 2023 взломали рабочую станцию с win 11 заразили ее и те ПК с общими папками которые были включены, был заражен сервер через RDP c этой станции, на сервере был заражен диск Д кроме баз MS SQL, в папке пользователя AppData осталось 5 файлов и 1 один в автозагрузке Desktopini.exe который определялся как  вирус вымогатель. по крайне мере так его опознал Kaspersky Anti-Ransomware Tool for Business 5 (PDM: Trojan.Win32.Bazon.a) шифрует с расширением .OjuC на другом ПК с рас ширением .OpsO , на эти два зашифрованных файла есть оригиналы нешифрованные.


      Addition.txt FRST.txt Read_Me!_1.txt зашифрованные файлы.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • BritishSteel
      Шифровальщик
      От BritishSteel
      Добрый вечер. Поймал наш серверок шифровальщика, судя по всему - через rdp. Заблокированы жесткие диски битлокером, требует пароль для разблокировки) На оставшемся незакрытом разделе (причем системном) зашифрованных файлов нет. Но по всем директориям разбросал txt-шки FILES-ENCRYPTED (прикрепил в архиве, пароль virus). База 1С SQL бэкапилась на NAS, как бы проблему обойти можно банальной установкой других винтов, переустановить сервер, установить sql заново и разархивировать последний бэкап, но есть тонкости, которые подвластны нашему 1С-нику, а он исчез с поля зрения и не выходит на связь.
      Addition.txt FRST.txt FILES_ENCRYPTED.rar
    • Ilnazg
      Шифровальщик зашифровал базы SQL и документы
      От Ilnazg
      Добрый день зашифрованы фалы базы SQL  и документы, создалась групповая политика и распространила администраторов на сервера и из поднего зашифровала файлы. Политику отключили пароли админов сменили, локальных админов удалили.
      DATA.7z FRST.txt Addition.txt
    • Андрей121
      Шифровальщик Trojan.Encoder.32210 (Lockbit 3) file.4HNnrRWXy
      От Андрей121
      Добрый вечер! Обнаружили что 21.06.2023 тихо взломали 2 наших сервера с помощью вируса шифровальщика вроде бы Trojan.Encoder.31074 (Lockbit 3). Обнаружил после того как пользователи начали жаловаться на то что документы не открываются. На сам рабочий стол доступ имелся и было обнаружено что лицензионного антивирусного программного обеспечения kaspersky endpoint security нигде нет. Решил написать пост в данной теме на форуме ( в dr web сразу отказались помочь т.к сказали что это невозможно, только сказали имя шифровальщика). Переписку с вымогателями не вел. Систему не лечил и не чистил. Очень нужна помощь по восстановлению данных.
×
×
  • Создать...