Перейти к содержанию

Зашифровались файлы разрешением CRYPTED000007.


Рекомендуемые сообщения

Доброго времени суток! Пришло письмо от Ростелеком по поводу задолженности (и она была, небольшая). В нём была ссылка, рука дёрнулась, открыла... (смотрите вложение Письмо_с_печальной_ссылкой.docx). Там оказалась замаскированная ссылка и текст, вставленный картинкой, видимо чтобы в спам письмо не уходило.

 

Зашифровались документы, счёта, акты, файлы баз 1С бухгалтерия... Резервных копий никогда не делала. Был один архив с базами 1С, сделанный программистом, но и в архиве всё зашифровалось.

 

Во вложении Шифрованные_и_оригинальные_файлы.rar лежит содержимое папки с зашифрованными файлами и 2 оригинальных файла из этой же папки (какой оригинал к какому зашифрованному принадлежит - я не знаю), также есть  текстовый файл с требованиями злоумышленников, которое нашла в корне дисков (см. вложение README1.txt). Само окно не вылазило.

 

Запустили winPE и прогнали CUREIT'ом и KRT, вычистили много дряни. Только потом прочитали, что делать этого было нельзя. Хотя, возможно, они его и не поймали. Пробовали расшифровать продуктами Касперского: xoristdecryptor, rectordecryptor, rannohdecryptor, rakhnidecryptor. Ничего не получилось.

 

Есть ли возможность восстановить файлы, документы, базы 1С? Вся многолетняя работа там. Вся. 

 

--------------------------------

Примерная дата/время шифрования: 19.06.2017 14:00-14:30

----------------------------------------

Конкретно на этом компьютере был установлен Kaspersky Free 16. Он был включен. Но почему-то не углядел это бл... гадство... 

--------------------------------------

В папке C:\ProgramData\Kaspersky Lab\AVP16.Х.Х \SysWHist нет ничего, кроме папки file_cache. И в ней тоже ничего нет.

----------------------------------------

Интересный момент (см. вложение Интересно.png). В этот же день якобы появилась новая версия 16.0.1 в 9:32... Это наверняка может помочь.

 

В архиве Вложение.rar 4 вложения:  

Письмо_с_печальной_ссылкой.docx

Шифрованные_и_оригинальные_файлы.rar

README1.txt

Интересно.png

 

Вложение.rar

Ссылка на комментарий
Поделиться на другие сайты

@Sandor, тут вопрос возник: стоит ли запускать ту же систему, где крутится шифровальщик, или можно из-под winPE собирать?

--------------------------------------------

 

В безопасном режиме сделал.

CollectionLog-2017.06.21-15.38.zip

Изменено пользователем nikhop
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

1. Скрипт выполнен. Полученный ответ на файл карантина

Полученный ответ на файл карантина:

Карантин от АВЗ [KLAN-6428703413]
newvirus@kaspersky.com
newvirus@kaspersky.com
сегодня в 16:38
Вам
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nrh

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

2. Отчёт о работе в виде файла ClearLNK-<Дата>.log во вложении.

P.S. занятно, но эта зараза успела зашифровать отчёт о работе ClearLNK, пришлось делать по-новой.

 

3. Повторная диагностика во вложении

 

ClearLNK-21.06.2017_16-28.log

CollectionLog-2017.06.21-16.33.zip

Ссылка на комментарий
Поделиться на другие сайты

успела зашифровать отчёт о работе ClearLNK

Да, был активен, больше нет.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Да, был активен, больше нет.

Это сразу понятно стало при загрузке ) Быстренько запускаться начал, ЦП никто не грузит более.

 

Отчет: 

AdwCleanerS0.txt

Изменено пользователем nikhop
Ссылка на комментарий
Поделиться на другие сайты

@Sandor, подскажите:

1. Какова вероятность дешифровки файлов?

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

 

П.С. Забыл спасибо сказать за помощь в уничтожении дряни. СПАСИБО!  :gooda:

Изменено пользователем nikhop
Ссылка на комментарий
Поделиться на другие сайты

1. Какова вероятность дешифровки файлов?

Очень мала.

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

Возможно был не обновлен или в тот момент был выключен.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Очень мала.

 

Печаль.

 

Возможно был не обновлен или в тот момент был выключен.

 

Выяснил, что во Free нет мониторинга активности... Если бы был КИС, он бы моментально словил эту шнягу. 

 

Совет из ТП Kaspersky (ну и от меня теперь):

ЮЗАЙТЕ ПРОДУКТЫ С МОНИТОРИНГОМ АКТИВНОСТИ, ШИФРАТОР В ТАКОМ СЛУЧАЕ ПОЙМАТЬ ПРАКТИЧЕСКИ НЕВОЗМОЖНО.

 

@Sandor, Вам Спасибо большое, я все шифрованное упаковал и сложил до лучших времен (надеюсь на лучшее) и переснёс всё к чертям, настроив бэкапы удалённые на облако с паролированием и с атрибутом для чтения, плюс поставил KIS.

Ссылка на комментарий
Поделиться на другие сайты

А где результаты двух пунктов из моего предыдущего сообщения?

 

Переснёс систему ещё вчера, какой смысл на чистой системе эти пункты исполнять? Или есть?

Изменено пользователем nikhop
Ссылка на комментарий
Поделиться на другие сайты

Переснёс систему

Подразумевается - переустановил? Если так, то не имеет смысла. Но не имела смысла и переустановка.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kseninon
      От kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • nuk-nuk
      От nuk-nuk
      Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =(
       
      исходные.rar Зашифрованные.rar Addition.txt FRST.txt
    • nel
      От nel
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы. После обнаружения, что файлы зашифрованы, диск переставил в другую машину. Ко всем файлам добавляется расширение «GFANXf9LM». В архиве прилагаю три зашифрованных файла, файл с описанием и один оригинальный файл (до шифрования).
      Спасибо за внимание.
      GFANXf9LM.7z
    • nsgdima
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
    • Nepodarok
      От Nepodarok
      Добрый день. Я так понял, что через RDP зашифровали данные с названием .kaspersky.  После перезагрузки, windows не загрузился, поэтому пришлось снять жесткий и логи снимать с другого компьютера.
      Addition_30-12-2022 00.45.32.txt FRST_30-12-2022 00.45.32.txt архив.zip
×
×
  • Создать...