Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
Доброго времени суток! Пришло письмо от Ростелеком по поводу задолженности (и она была, небольшая). В нём была ссылка, рука дёрнулась, открыла... (смотрите вложение Письмо_с_печальной_ссылкой.docx). Там оказалась замаскированная ссылка и текст, вставленный картинкой, видимо чтобы в спам письмо не уходило.

 

Зашифровались документы, счёта, акты, файлы баз 1С бухгалтерия... Резервных копий никогда не делала. Был один архив с базами 1С, сделанный программистом, но и в архиве всё зашифровалось.

 

Во вложении Шифрованные_и_оригинальные_файлы.rar лежит содержимое папки с зашифрованными файлами и 2 оригинальных файла из этой же папки (какой оригинал к какому зашифрованному принадлежит - я не знаю), также есть  текстовый файл с требованиями злоумышленников, которое нашла в корне дисков (см. вложение README1.txt). Само окно не вылазило.

 

Запустили winPE и прогнали CUREIT'ом и KRT, вычистили много дряни. Только потом прочитали, что делать этого было нельзя. Хотя, возможно, они его и не поймали. Пробовали расшифровать продуктами Касперского: xoristdecryptor, rectordecryptor, rannohdecryptor, rakhnidecryptor. Ничего не получилось.

 

Есть ли возможность восстановить файлы, документы, базы 1С? Вся многолетняя работа там. Вся. 

 

--------------------------------

Примерная дата/время шифрования: 19.06.2017 14:00-14:30

----------------------------------------

Конкретно на этом компьютере был установлен Kaspersky Free 16. Он был включен. Но почему-то не углядел это бл... гадство... 

--------------------------------------

В папке C:\ProgramData\Kaspersky Lab\AVP16.Х.Х \SysWHist нет ничего, кроме папки file_cache. И в ней тоже ничего нет.

----------------------------------------

Интересный момент (см. вложение Интересно.png). В этот же день якобы появилась новая версия 16.0.1 в 9:32... Это наверняка может помочь.

 

В архиве Вложение.rar 4 вложения:  

Письмо_с_печальной_ссылкой.docx

Шифрованные_и_оригинальные_файлы.rar

README1.txt

Интересно.png

 

Вложение.rar

Опубликовано (изменено)

@Sandor, тут вопрос возник: стоит ли запускать ту же систему, где крутится шифровальщик, или можно из-под winPE собирать?

--------------------------------------------

 

В безопасном режиме сделал.

CollectionLog-2017.06.21-15.38.zip

Изменено пользователем nikhop
Опубликовано

В безопасном режиме сделал

Почему? В обычном не запускался? Если запускается, переделайте в обычном.
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Опубликовано

1. Скрипт выполнен. Полученный ответ на файл карантина

Полученный ответ на файл карантина:

Карантин от АВЗ [KLAN-6428703413]
newvirus@kaspersky.com
newvirus@kaspersky.com
сегодня в 16:38
Вам
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nrh

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

2. Отчёт о работе в виде файла ClearLNK-<Дата>.log во вложении.

P.S. занятно, но эта зараза успела зашифровать отчёт о работе ClearLNK, пришлось делать по-новой.

 

3. Повторная диагностика во вложении

 

ClearLNK-21.06.2017_16-28.log

CollectionLog-2017.06.21-16.33.zip

Опубликовано (изменено)

успела зашифровать отчёт о работе ClearLNK

Да, был активен, больше нет.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Опубликовано (изменено)

Да, был активен, больше нет.

Это сразу понятно стало при загрузке ) Быстренько запускаться начал, ЦП никто не грузит более.

 

Отчет: 

AdwCleanerS0.txt

Изменено пользователем nikhop
Опубликовано (изменено)

@Sandor, подскажите:

1. Какова вероятность дешифровки файлов?

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

 

П.С. Забыл спасибо сказать за помощь в уничтожении дряни. СПАСИБО!  :gooda:

Изменено пользователем nikhop
Опубликовано

1. Какова вероятность дешифровки файлов?

Очень мала.

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

Возможно был не обновлен или в тот момент был выключен.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Очень мала.

 

Печаль.

 

Возможно был не обновлен или в тот момент был выключен.

 

Выяснил, что во Free нет мониторинга активности... Если бы был КИС, он бы моментально словил эту шнягу. 

 

Совет из ТП Kaspersky (ну и от меня теперь):

ЮЗАЙТЕ ПРОДУКТЫ С МОНИТОРИНГОМ АКТИВНОСТИ, ШИФРАТОР В ТАКОМ СЛУЧАЕ ПОЙМАТЬ ПРАКТИЧЕСКИ НЕВОЗМОЖНО.

 

@Sandor, Вам Спасибо большое, я все шифрованное упаковал и сложил до лучших времен (надеюсь на лучшее) и переснёс всё к чертям, настроив бэкапы удалённые на облако с паролированием и с атрибутом для чтения, плюс поставил KIS.

Опубликовано

А где результаты двух пунктов из моего предыдущего сообщения?

Опубликовано (изменено)
А где результаты двух пунктов из моего предыдущего сообщения?

 

Переснёс систему ещё вчера, какой смысл на чистой системе эти пункты исполнять? Или есть?

Изменено пользователем nikhop
Опубликовано

Переснёс систему

Подразумевается - переустановил? Если так, то не имеет смысла. Но не имела смысла и переустановка.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Banz26
      Автор Banz26
      Зашифрованные файлы (фото,видео)
      CollectionLog-2015.10.05-13.43.zip
    • Edger
      Автор Edger
      фАЙЛЫ приняли расширение xtbl Жаль детских фото 
      CollectionLog-2015.09.08-16.19.zip
      report1.log
      report2.log
    • Edger
      Автор Edger
      зашифрованы файлы в расширение .xtbl
      CollectionLog-2015.09.30-19.25.zip
    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
×
×
  • Создать...