Перейти к содержанию

Шифровальщик, расширение .du1732, email вымогателей dumdos@ya.ru

Alx_trvkn
 Share

Рекомендуемые сообщения

Alx_trvkn Новичок

Alx_trvkn

Опубликовано
Опубликовано

Добрый день. Сервер словил вирус дважды: первый раз файлы были зашифрованы на съемном носителе, подключенным к серверу, скорее всего кто-то из двух пользователей, имеющих доступ, запустил его через вложение в почте.

Удалив его антивирусом, не стал заморачиваться с дешифровкой, тк зараженные файлы были не нужны. Кстати, шифрование/email вымогателя отличались от вторичного заражения

 

Второе заражение произошло вчера, в этот раз уже были зашифрованы файлы на основном диске. Просмотр журнала показал, что был создан пользователь с правами админа, через него был выполнен вход, использовалась утилита PsExec, с помощью которой выполнялись нужные команды, в тч деинсталляция антивируса, и тп... Пользователя этого я уже удалил, а вот PsExec была удалена самими злоумышленниками после запуска шифровальщика.

 

Согласно порядка оформления заявки, скачал и выполнил проверку KVRT, запустил сборщик логов. Прилагаю архив с логами а также файл с адресом вымогателей.

Для доступа на сервер для сбора логов я использовал приложение Teamviewer

 

Буду рад любой помощи,

С уважением,

Александр 

CollectionLog-2017.05.06-13.57.zip

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Образцы зашифрованных doc или docx файлов пришлите в архиве.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','');
 QuarantineFile('c:\windows\syswow64\radiance\wizard.exe','');
 TerminateProcessByName('C:\Windows\SysWOW64\Resident\wahiver.exe');
 QuarantineFile('C:\Windows\SysWOW64\Resident\wahiver.exe','');
 DeleteFile('C:\Windows\SysWOW64\Resident\wahiver.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
 DeleteFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Rome0
      Шифровальщик-вымогатель .kwx8
      От Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
×
×
  • Создать...