Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик CryptXXX

Dantes48
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Если не трудно, предыдущую рекомендацию все же сделайте.

+

Если до момента заражения было включено Восстановление системы, можно попробовать восстановить поврежденные файлы из теневых копий.

  • Ответов 31
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    16

  • Dantes48

    16

Топ авторов темы

Популярные посты

Dantes48
Dantes48

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Dantes48

Dantes48

Опубликовано
  • Автор
Опубликовано

Лог во вложении.

После снятия образа зараженной системы попробую восстановить по точкам восстановления.

DigiSign.rar

Sandor

Sandor

Опубликовано
Опубликовано

Зачем же из образа? Соберите логи FRST, проверим, не осталось ли чего и можно будет пробовать на этой же системе восстановить.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Если еще не начали делать образ, упакуйте этот файл

C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_412_for_KB4038777~31bf3856ad364e35~amd64~~6.1.1.3.cat

с несколькими соседними из этой же папки в архив и прикрепите к следующему сообщению. Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

такой файл отсутствует

Если есть другие, покажите их (упакуйте и прикрепите).
Sandor

Sandor

Опубликовано
Опубликовано

Если не возражаете, еще исследование:

 

Пожалуйста, скачайте: https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx

Отключите интернет.

Создайте папку C:\sigcheck и распакуйте в неё файл sigcheck64.exe

Нажмите Win + R, введите cmd и нажмите ОК.

Вставьте такую строку:

C:\sigcheck\sigcheck64.exe -i C:\Windows\System32\Audiosrv.dll > C:\sigcheck\sign.log

и нажмите ENTER.

Прикрепите лог "C:\sigcheck\sign.log"

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-508854890-3005646773-2128989495-1000\...\Run: [MyProgram] => 888f237ef69b11101f4a17c60041f742.exe
CHR HKU\S-1-5-21-508854890-3005646773-2128989495-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=6f1268044e436d0f0ad24e3g4zatdo0eaq2w9bfw8w&from=amz&uid=ST1000DM003-1ER162_Z4Y2GMSHXXXXZ4Y2GMSH&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> 28initialpage123
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-13] <==== ATTENTION
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-09-27] <==== ATTENTION
S2 Wgeuneloj; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
S2 Wgeuneloj; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
2017-09-25 10:46 - 2017-09-25 10:46 - 000004468 _____ C:\Program Files\how_to_back_files.html
2017-09-25 10:36 - 2017-09-25 10:36 - 000004468 _____ C:\Program Files (x86)\how_to_back_files.html
2017-09-25 10:07 - 2017-09-25 10:07 - 000004468 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
2017-09-25 09:56 - 2017-09-25 09:56 - 000004468 _____ C:\Users\admin\Desktop\how_to_back_files.html
2017-09-25 09:36 - 2017-09-25 09:36 - 000004468 _____ C:\Users\admin\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Desktop\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Default\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\Downloads\how_to_back_files.html
2017-09-25 09:34 - 2017-09-25 09:34 - 000004468 _____ C:\Users\Public\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\ProgramData\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\how_to_back_files.html
Task: {122FB2EF-6A2C-45C1-9D02-8B440611E377} - \{0B0A0C47-7E0E-790A-0E11-79780908117F} -> No File <==== ATTENTION
Task: {DBE3F315-D9AB-4BDE-8FF4-DE7E70838A0C} - \Gntypluhsp -> No File <==== ATTENTION
FirewallRules: [{7E574B5A-F473-4220-A055-84DF8E43F763}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

+

Нажмите Win + R, введите cmd и нажмите ENTER

Введите

systeminfo > desktop\sysinfo.txt

и нажмите ENTER.

Пришлите файл sysinfo.txt с рабочего стола.

Sandor

Sandor

Опубликовано
Опубликовано

На этом закончим.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zneft2006
      Шифровальщик coded все зашифровал!
      Автор zneft2006
      Шифровальщик coded все зашифровал
      CollectionLog-2017.12.07-12.00.zip
    • automir14
      на компьютере были зашифрованы все файлы с расширением *.crypt
      Автор automir14
      плиз нужна помощь на компе зашифрованы файлы почты, офисные документы с расширением ПИСЬМО.jpg.crypt
    • Artem Petrov
      Возможно ли расшифровать (.deryptme)
      Автор Artem Petrov
      День добрый. У нас в компании произошел инцидент. Провели проверку при помощи Dr.Web CureIt! по результатам проведения которой был обнаружен Trojan.Encoder.16665. 
      Возможно ли расшифровать наши данные?
       
      Прикладываю: 
      Логи автоматического сборщика логов;
      Пример зашифрованного файла; Отчет Dr.Web CureIt!; Требования злоумышленников.
       
      CollectionLog-2017.12.04-14.20.zip
      Desktop.7z
      123.7z
    • SHooRoP
      Файлы зашифрованы .deryptme
      Автор SHooRoP
      Здравствуйте.
      Файлы на компьютере бухгалтера зашифрованы .deryptme.
       
      Первые зашифрованные файлы датированы 27.11.2017 16:40 - 16:41 и судя по логам компа далее его выключили. Бухгалтер ничего не заподозрил, касперский промолчал (по словам бухгалтера) (на машинке стоит ksos17.0.0.611ru-ru_full). Далее ничего не подозревая включили комп 29.11.2017 в 11:19, касперский (по словам бухгалтера) снова молчит, когда поняли что не открывается ничего прошло порядка 30-40 минут и позвали сисадмина. Благо сеть была выдернута усердной шваброй уборщицы и эти полчаса сетевые диски были недоступны. Пришел, увидел, касперский был отключен!!! Пролечил установленным антивирусом, проверил дополнительно Kaspersky Virus Removal Tool 2015. Сделал логи по инструкции, прикрепляю. Откуда был схвачен шифровальщик не знаю, на все вопросы получаю один ответ - ничего не трогали ничего не нажимали.
       
      И еще вопрос, есть шанс расшифровать базы 1с с помощью техподдержки Касперского или можно рвать волосы по периметру?
       
      Заранее благодарю за ответ и возможную помощь.
      CollectionLog-2017.11.29-16.49.zip
    • GodILike
      Зашифровались файлы и получили расширение crypt
      Автор GodILike
      Здравствуйте, все файлы зашифровались и приобрели расширение crypt хотелось бы расшифровать их. Прикрепил один из зашифрованных файлов и его оригинал. Что делать в данном случае?

      Ещё в каждой папке появился файл с названием how_to_back_files , но он к сожалению не хочет прикрепляться там ссылка с требованиями вымогателей.
      CollectionLog-2017.11.30-17.48.zip
      Зашифрованный файл.rar
      Файл оригинал.rar
×
×
  • Создать...