Перейти к содержанию

Шифровальщик CryptXXX

Dantes48
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Если не трудно, предыдущую рекомендацию все же сделайте.

+

Если до момента заражения было включено Восстановление системы, можно попробовать восстановить поврежденные файлы из теневых копий.

  • Ответов 31
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    16

  • Dantes48

    16

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Dantes48
Dantes48

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Dantes48

Dantes48

Опубликовано
  • Автор
Опубликовано

Лог во вложении.

После снятия образа зараженной системы попробую восстановить по точкам восстановления.

DigiSign.rar

Sandor

Sandor

Опубликовано
Опубликовано

Зачем же из образа? Соберите логи FRST, проверим, не осталось ли чего и можно будет пробовать на этой же системе восстановить.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Если еще не начали делать образ, упакуйте этот файл

C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_412_for_KB4038777~31bf3856ad364e35~amd64~~6.1.1.3.cat

с несколькими соседними из этой же папки в архив и прикрепите к следующему сообщению. Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

такой файл отсутствует

Если есть другие, покажите их (упакуйте и прикрепите).
Sandor

Sandor

Опубликовано
Опубликовано

Если не возражаете, еще исследование:

 

Пожалуйста, скачайте: https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx

Отключите интернет.

Создайте папку C:\sigcheck и распакуйте в неё файл sigcheck64.exe

Нажмите Win + R, введите cmd и нажмите ОК.

Вставьте такую строку:

C:\sigcheck\sigcheck64.exe -i C:\Windows\System32\Audiosrv.dll > C:\sigcheck\sign.log

и нажмите ENTER.

Прикрепите лог "C:\sigcheck\sign.log"

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-508854890-3005646773-2128989495-1000\...\Run: [MyProgram] => 888f237ef69b11101f4a17c60041f742.exe
CHR HKU\S-1-5-21-508854890-3005646773-2128989495-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=6f1268044e436d0f0ad24e3g4zatdo0eaq2w9bfw8w&from=amz&uid=ST1000DM003-1ER162_Z4Y2GMSHXXXXZ4Y2GMSH&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> 28initialpage123
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-13] <==== ATTENTION
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-09-27] <==== ATTENTION
S2 Wgeuneloj; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
S2 Wgeuneloj; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
2017-09-25 10:46 - 2017-09-25 10:46 - 000004468 _____ C:\Program Files\how_to_back_files.html
2017-09-25 10:36 - 2017-09-25 10:36 - 000004468 _____ C:\Program Files (x86)\how_to_back_files.html
2017-09-25 10:07 - 2017-09-25 10:07 - 000004468 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
2017-09-25 09:56 - 2017-09-25 09:56 - 000004468 _____ C:\Users\admin\Desktop\how_to_back_files.html
2017-09-25 09:36 - 2017-09-25 09:36 - 000004468 _____ C:\Users\admin\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Desktop\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Default\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\Downloads\how_to_back_files.html
2017-09-25 09:34 - 2017-09-25 09:34 - 000004468 _____ C:\Users\Public\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\ProgramData\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\how_to_back_files.html
Task: {122FB2EF-6A2C-45C1-9D02-8B440611E377} - \{0B0A0C47-7E0E-790A-0E11-79780908117F} -> No File <==== ATTENTION
Task: {DBE3F315-D9AB-4BDE-8FF4-DE7E70838A0C} - \Gntypluhsp -> No File <==== ATTENTION
FirewallRules: [{7E574B5A-F473-4220-A055-84DF8E43F763}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

+

Нажмите Win + R, введите cmd и нажмите ENTER

Введите

systeminfo > desktop\sysinfo.txt

и нажмите ENTER.

Пришлите файл sysinfo.txt с рабочего стола.

Sandor

Sandor

Опубликовано
Опубликовано

На этом закончим.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...