Перейти к содержанию

Шифровальщик (без смены расширений)

YaIgorZ
 Share

Рекомендуемые сообщения

YaIgorZ Новичок

YaIgorZ

Опубликовано
Опубликовано

Здравствуйте,

вирус зашифровал файлы (doc, txt, jpg, zip, psd...), изменилась только дата создания файлов

намеков и записок вымогатели не оставили.

Немогу даже определить что за шифровщик, вероятно заразился от стороннего ПО

Прикладываю логи и шифрованный вариант с оригиналом

CollectionLog-2017.05.06-21.43.zip

CRYPT.ZIP

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\Microsoft\Performance\TheftProtection\temp\tmpBDDF.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Enqtion\tmpBDDF.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Enqtion\cnxlivgj.dll','');
 DeleteFile('C:\Users\User\AppData\Local\Enqtion\cnxlivgj.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\Enqtion\tmpBDDF.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Enqtion');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{ADCE3A4C-C7C3-2A99-1E87-CBACE2BBDC80}');
 DeleteFile('C:\ProgramData\Microsoft\Performance\TheftProtection\temp\tmpBDDF.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Actqworks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
YaIgorZ Новичок

YaIgorZ

Опубликовано
  • Автор
Опубликовано

ОТВЕТ

В следующих файлах обнаружен вредоносный код:
tmpBDDF.exe - Trojan.Win32.Agent.nezulh
 

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
cnxlivgj.dll - UDS:DangerousObject.Multi.Generic


НОВЫЕ ЛОГИ


@YaIgorZ, не тронуты папки с названием *DESKTOP*

CollectionLog-2017.05.09-09.17.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Windows\c95d28e4b526edc5923bbde153ee1381.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-04-09] ()
2017-05-08 23:04 - 2017-05-08 23:04 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncadd2a9b7a5ce7b6
2017-05-08 23:03 - 2017-05-08 23:03 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsigndc15ffd266a4ff0c
2017-05-06 19:26 - 2017-05-06 19:26 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign744467b9860d3b06
2017-05-06 19:25 - 2017-05-06 19:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignebdd0e5abc4e5258
2017-05-06 19:25 - 2017-05-06 19:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd94963ca9ecd741f
2017-05-06 19:25 - 2017-05-06 19:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign47a7114c43f9fe13
2017-05-06 19:25 - 2017-05-06 19:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign239f6f932e07f5e7
2017-05-06 19:25 - 2017-05-06 19:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign112f28bee2480f28
2017-05-06 09:25 - 2017-05-06 09:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf71c0d5e0abf1791
2017-05-06 09:25 - 2017-05-06 09:25 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna4432f8d73b1a7f1
2017-05-05 14:52 - 2017-05-05 14:52 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign34b8eb7f3217124d
2017-05-05 14:46 - 2017-05-05 14:46 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb50c92fc86d43b6b
2017-05-05 14:46 - 2017-05-05 14:46 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign64833935df44d354
2017-05-05 14:46 - 2017-05-05 14:46 - 00000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3c4caf7ea3334eef
2017-05-05 12:14 - 2017-05-09 09:15 - 00000000 ____D C:\Users\User\AppData\Local\Enqtion
2017-05-05 11:19 - 2017-05-05 11:19 - 01386496 _____ C:\Windows\c95d28e4b526edc5923bbde153ee1381.exe
2017-05-08 17:37 - 2017-05-08 17:37 - 1619311 _____ () C:\Users\User\AppData\Local\Temp\vk_ok_adblock.exe
2017-05-08 17:36 - 2017-05-08 17:37 - 15721672 _____ (IObit                                                       ) C:\Users\User\AppData\Local\Temp\869C.tmp.exe
2017-05-08 17:36 - 2017-05-08 17:36 - 0399336 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\AmigoDistrib.exe
2017-05-08 17:37 - 2017-05-08 17:38 - 2584280 _____ () C:\Users\User\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-05-08 17:35 - 2017-05-08 17:36 - 2584280 _____ () C:\Users\User\AppData\Local\Temp\hcv_mailruhomesearch.exe
2017-05-08 17:38 - 2017-05-08 17:38 - 2584280 _____ () C:\Users\User\AppData\Local\Temp\mailruhomesearch.exe
2017-05-08 17:36 - 2017-05-02 20:50 - 4127960 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\MailRuUpdater.exe
2017-05-08 17:35 - 2017-05-08 17:37 - 0006791 _____ () C:\Users\User\AppData\Local\Temp\Vaxter-VK.exe
Task: {24F99739-BF4B-4D5D-A401-748619883E03} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удаляйте этот файл.

 

Увы, гадать что-то о шифровании тоже бессмысленно. С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • DenSyaoLin
      Вирус шифровальщик заменил расширения на Elpaco-team
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
×
×
  • Создать...