Перейти к содержанию

Рекомендуемые сообщения

Прошу помощи!

 

Зашифрованы файлы, расширение arena.

 

Пробовал некоторые расшифровщики, не получилось(то ли лыжи не едут..)

 

Файл вымогателя FILES ENCRYPTED.txt

 

all your data has been locked us
You want to return?
write email decrypt2010btc@cock.li or bestbitforch@airmail.cc
 
Собрал логи по инструкции.
 
Также прикрепил образец зараженного файла.

CollectionLog-2017.09.17-15.07.zip

chromeinstall-7u67.exe.id-444503AA.decrypt2010btc@cock.li.arena.zip

Ссылка на комментарий
Поделиться на другие сайты

С рассшифровкой помочь не сможем, только вирусы дочистить.

 

1)

C:\WINDOWS\system32\calluxxprovider.vbs
C:\WINDOWS\system32\sildailycollector.vbs

Эти файлы вам знакомо?

 

2)
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-444503AA.[decrypt2010btc@cock.li].arena', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\WINDOWS\system32\calluxxprovider.vbs', '');
 QuarantineFile('C:\WINDOWS\system32\sildailycollector.vbs', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
end.

4) После выполнения скрипта перезагрузите компьютер вручную.

5)
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
6) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 
Ссылка на комментарий
Поделиться на другие сайты

1) Нет

2) http://virusinfo.info/virusdetector/report.php?md5=DBBD1A91D8DD4B88785354A8A27FA332

3) ОК

4) ОК

5) [KLAN-6823301678]

Thank you for contacting Kaspersky Lab
 
The files have been scanned in automatic mode.
 
No information about the specified files can be found in the antivirus databases:
desktop.ini.id-444503AA.[decrypt2010btc@cock.li].arena
Info.hta
 
We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
 
This is an automatically generated message. Please do not reply to it.
 
Anti-Virus Lab, Kaspersky Lab HQ
 
"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700

6) Приложил

 

 

"С рассшифровкой помочь не сможем, только вирусы дочистить."

Невозможно расшифровать или как?

OWNEROR-TDMB6O9_2017-09-17_17-51-17.7z

Ссылка на комментарий
Поделиться на другие сайты

 

 


Невозможно расшифровать или как?
да, невозможно.

1)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    BREG
    ;---------command-block---------
    bl B75FDF275292E1909F5AF7B811A6E32D 13934
    zoo %SystemDrive%\USERS\RDP\APPDATA\ROAMING\INFO.HTA
    delall %SystemDrive%\USERS\RDP\APPDATA\ROAMING\INFO.HTA
    zoo %Sys32%\INFO.HTA
    delall %Sys32%\INFO.HTA
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Включите восстановление системы и создайте точку восстановления.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
     
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe; C:\WINDOWS\system32\calluxxprovider.vbs; C:\WINDOWS\system32\sildailycollector.vbs
    Folder: C:\Users\syss\AppData\Roaming\MicrosoftHostHelper
    Task: {10293EF4-0642-4D57-999E-ACACBDD5F1A8} - System32\Tasks\zadanie => C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe
    Task: {22F8933B-6077-471D-A4C3-56C7647164AD} - System32\Tasks\Microsoft\Windows\Server Manager\CleanupOldPerfLogs => %systemroot%\system32\cscript.exe /B /nologo %systemroot%\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
    Task: {E17CE1E2-2876-42D3-B6F5-40A269D1D3C4} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Daily Collector => %systemroot%\system32\cscript.exe %systemroot%\system32\sildailycollector.vbs
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
    HKLM\...\Run: [360Safetray] => [X]
    HKLM\...\Run: [ QQPCTray] => [X]
    HKLM\...\Run: [RavTRAY] => [X]
    HKLM\...\Run: [RISTRAY] => [X]
    HKLM\...\Run: [kxesc] => [X]
    HKLM\...\Run: [KVMON] => [X]
    HKLM\...\Run: [ShStatEXE] => [X]
    HKLM\...\Run: [McAfeeUpdaterUI] => [X]
    HKLM\...\Run: [KVXP] => [X]
    HKLM\...\Run: [shell] => [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Не знаю, для 10-ки может и нормально (негде проверить). Вот тут инструкция как включить восстановление системы.

Ссылка на комментарий
Поделиться на другие сайты

На компьютере Windows Server 2012 R2 Standart. Точек восстановления там нет, а архивирование на единственный том не делается.... 

Насколько плохо не создать архив?

 

Спасибо за помощь и терпение :)

Ссылка на комментарий
Поделиться на другие сайты

Восстановление системы в любом случае советую включить и держать включённым. Будь оно включено до этого сейчас может быть часть файлов вытащили бы из резервных копий. Вот и думайте насколько плохо это.

Если нет возможности, то выполняйте так скрипт.

Ссылка на комментарий
Поделиться на другие сайты

Включите восстановление системы и создайте точку восстановления.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

     

    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe; C:\WINDOWS\system32\calluxxprovider.vbs; C:\WINDOWS\system32\sildailycollector.vbs
    Folder: C:\Users\syss\AppData\Roaming\MicrosoftHostHelper
    Task: {10293EF4-0642-4D57-999E-ACACBDD5F1A8} - System32\Tasks\zadanie => C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe
    Task: {22F8933B-6077-471D-A4C3-56C7647164AD} - System32\Tasks\Microsoft\Windows\Server Manager\CleanupOldPerfLogs => %systemroot%\system32\cscript.exe /B /nologo %systemroot%\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
    Task: {E17CE1E2-2876-42D3-B6F5-40A269D1D3C4} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Daily Collector => %systemroot%\system32\cscript.exe %systemroot%\system32\sildailycollector.vbs
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
    HKLM\...\Run: [360Safetray] => [X]
    HKLM\...\Run: [ QQPCTray] => [X]
    HKLM\...\Run: [RavTRAY] => [X]
    HKLM\...\Run: [RISTRAY] => [X]
    HKLM\...\Run: [kxesc] => [X]
    HKLM\...\Run: [KVMON] => [X]
    HKLM\...\Run: [ShStatEXE] => [X]
    HKLM\...\Run: [McAfeeUpdaterUI] => [X]
    HKLM\...\Run: [KVXP] => [X]
    HKLM\...\Run: [shell] => [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Готово

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2017-09-16 03:49 - 2017-09-16 03:49 - 000001278 _____ () C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\hidconall.exe.id-444503AA.[decrypt2010btc@cock.li].arena
    2017-07-24 18:17 - 2017-09-16 03:49 - 003622160 _____ () C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\RuntimeBrokers.exe.id-444503AA.[decrypt2010btc@cock.li].arena
    2017-09-16 03:49 - 2017-09-16 03:49 - 000599292 _____ () C:\Users\syss\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe.id-444503AA.[decrypt2010btc@cock.li].arena
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)


  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.




 

Ссылка на комментарий
Поделиться на другие сайты

Компьютер автоматически не перезагрузился, это нормально?

 

Ищем диск windows

 

Скажите, а эти все эти действия нужны для восстановления системы?

 

Это как-то сможет помочь расшифровать файлы?


Как называется этот шифровальщик?

Ссылка на комментарий
Поделиться на другие сайты

Это как-то сможет помочь расшифровать файлы?

Вам ясно написали, что с расшифровкой помочь невозможно. Это одна из новых версий шифратора CrySis. Расшифровка предыдущих версий пояаилась только после слива ключей самими злоумышленниками.
Ссылка на комментарий
Поделиться на другие сайты

проблема та же.

Имеет смысл ждать слива ключей или все снести и установить в чистую?

было установлено - Windows server 2008 + Kaspersky Endpoint Security 10

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • valkovaleksandr
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • hiveliberty
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • norma.ekb
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
×
×
  • Создать...