Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

Прошу вас помочь с расшифровкой файлов, поврежденных вирусом Exploit.Win64.CVE-2015-1701.a или Virus.Win32.Parite.c.

Прикладываю отчет AutoLogger'а после проверки ПК утилитой Kaspersky Rescure Disk 10. Отчет самого антивируса.

Зашифрованные файлы имею название типа:

email-komar@tuta.io.ver-CL 1.3.1.0.id-NORM@@@@@A40B-C424.randomname-YBDDHIKLIIJKLLMMNNOPQRRRSTTUVV.WXX.yzz

с различными расширениями. В корне каждой папки readme.txt

 

вирус проник на ПК посредством уязвимости в безопасности rdp

ScanObject.txt

CollectionLog-2017.08.24-14.33.zip

Опубликовано

 

 


Virus.Win32.Parite.c.
это файловый вирус, а

 

 


Зашифрованные файлы имею название типа: email-komar@tuta.io.ver-CL 1.3.1.0.id-NORM@@@@@A40B-C424.randomname-YBDDHIKLIIJKLLMMNNOPQRRRSTTUVV.WXX.yzz с различными расширениями. В корне каждой папки readme.txt
Это шифровальщик Cryakl, с рассшифровкой которого помочь не сможем.

Как это вас так угораздило :(. Логи сейчас посмотрю.


Ещё и майнер у вас.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\nisina.NEBUG\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe', '');
 QuarantineFileF('C:\Users\nisina.NEBUG\AppData\Roaming\MicrosoftHostHelper\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\nisina.NEBUG\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "zadanie1" /F', 0, 15000, true);
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.


 
Опубликовано

Лечиться не будете? Логи будут?


как минимум у вас там до сих пор активен биткоин майнер.

Опубликовано

Я уже восстановил образ системы. важны были файлы, но не ПК.

Заниматься буду другими еще "живыми" компьютерами, если не возражаете, выложу пару логов для проверки?

Опубликовано

 

 


Заниматься буду другими еще "живыми" компьютерами, если не возражаете, выложу пару логов для проверки?
Только для каждого создайте отдельную тему. По этому

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ngri1@yandex.ru
      Автор ngri1@yandex.ru
      Здравствуйте.
       
      По почте 24.-9.2015 пришел файл *.exe
       
      Пользователь запустил его и в итоге были зашифрованы все файлы word.
       
      Kaspersky разрешил его выполнение - пропустил.
       
      Машина несколько раз перезагружалась.
       
      После чего Kaspersky обнаружил вирус Trojan-Dropper.Win32.Injector.nklv
       
      Лог AutoLogger прилагается.
       
      С уважением.
      CollectionLog-2015.09.25-08.20.zip
    • wcresaw
      Автор wcresaw
      Добрый день.

      После открытия файла по почте все офисные файлы зашифрованны и  имеют имя email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBCDDEFFGHHIJKKKLMNOOPPQRSSST-25.09.2015 8@37@469435045.randomname-ZABBCDEFGGGHIJKKKLMNOPPPQRSSTT.UVW.cbf

      результат сканирования FRST прилогаю.
      есть возможность расшифровать файлы?
      FRST.txt
      Addition.txt
    • andrey170782
      Автор andrey170782
      Вирус зашифровал файлы doc -WORD документы , они стали вот такого формата 
      email-gerkaman@aol.com.ver-CL 1.0.0.0.id-LEVGLWACKRKRTGDCGKHHKHEKEVSRVMJITPLO-25.09.2015 9@55@158965846.randomname-BXDVNYCZWEVDHAASOOHPKCCDQRRKAI.UHG.cbf
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-LICODDAHFMTSFVLCJARRYYRKJJKKJR.YSY.cbf
       
       
      На всех компьютерах установлен касперский , обновляется регулярно . После обнаружения вирусного шифровальщика , через центр управления принудительно запустили обновление баз на всех  компах и сканирование.
      .
       
      CollectionLog-2015.09.26-11.36.zip
    • andrey170782
      Автор andrey170782
      Добрый день!
       
      Зашифровались файлы word ....
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-YJSINOUAAXNCXNCKODLAFMCRNYJZLT.FXL.cbf
      базы обновили .. вирус уничтожен
       
      в папке program files был файл info.exe а так же prilozhenie.exe... касперский предлогат их лечить и после перезагрузки будет удалено..
       
      Подскажите пожалуйста есть ли шансы расшифровать документы?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • duzov
      Автор duzov
      Получила провокационное письмо, запустили вложение. Файлы зашифрованы с именами email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-PQRSTUUVXXYYZABCDDDEFGHHIIJKLLMMNOPQ-23.09.2015 13@17@521195938.randomname-RTTTVWWXXYZZABCCCDEEFGGGHIJJKK.LMN
      Установлен лицензионный Касперский Endpoint Security 10.
      Нужна помощь по расшифровке файлов.
      CollectionLog-2015.09.25-17.33.zip
×
×
  • Создать...