Перейти к содержанию

Шифровальщик CryptXXX

Dantes48
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Если не трудно, предыдущую рекомендацию все же сделайте.

+

Если до момента заражения было включено Восстановление системы, можно попробовать восстановить поврежденные файлы из теневых копий.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Sandor

    16

  • Dantes48

    16

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Dantes48
Dantes48

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Зачем же из образа? Соберите логи FRST, проверим, не осталось ли чего и можно будет пробовать на этой же системе восстановить.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Если еще не начали делать образ, упакуйте этот файл

C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_412_for_KB4038777~31bf3856ad364e35~amd64~~6.1.1.3.cat

с несколькими соседними из этой же папки в архив и прикрепите к следующему сообщению. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Если не возражаете, еще исследование:

 

Пожалуйста, скачайте: https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx

Отключите интернет.

Создайте папку C:\sigcheck и распакуйте в неё файл sigcheck64.exe

Нажмите Win + R, введите cmd и нажмите ОК.

Вставьте такую строку:

C:\sigcheck\sigcheck64.exe -i C:\Windows\System32\Audiosrv.dll > C:\sigcheck\sign.log

и нажмите ENTER.

Прикрепите лог "C:\sigcheck\sign.log"

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-508854890-3005646773-2128989495-1000\...\Run: [MyProgram] => 888f237ef69b11101f4a17c60041f742.exe
CHR HKU\S-1-5-21-508854890-3005646773-2128989495-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=6f1268044e436d0f0ad24e3g4zatdo0eaq2w9bfw8w&from=amz&uid=ST1000DM003-1ER162_Z4Y2GMSHXXXXZ4Y2GMSH&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> 28initialpage123
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-13] <==== ATTENTION
CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-09-27] <==== ATTENTION
S2 Wgeuneloj; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
S2 Wgeuneloj; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
2017-09-25 10:46 - 2017-09-25 10:46 - 000004468 _____ C:\Program Files\how_to_back_files.html
2017-09-25 10:36 - 2017-09-25 10:36 - 000004468 _____ C:\Program Files (x86)\how_to_back_files.html
2017-09-25 10:07 - 2017-09-25 10:07 - 000004468 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
2017-09-25 09:56 - 2017-09-25 09:56 - 000004468 _____ C:\Users\admin\Desktop\how_to_back_files.html
2017-09-25 09:36 - 2017-09-25 09:36 - 000004468 _____ C:\Users\admin\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Desktop\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Default\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\how_to_back_files.html
2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\Downloads\how_to_back_files.html
2017-09-25 09:34 - 2017-09-25 09:34 - 000004468 _____ C:\Users\Public\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\ProgramData\how_to_back_files.html
2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\how_to_back_files.html
Task: {122FB2EF-6A2C-45C1-9D02-8B440611E377} - \{0B0A0C47-7E0E-790A-0E11-79780908117F} -> No File <==== ATTENTION
Task: {DBE3F315-D9AB-4BDE-8FF4-DE7E70838A0C} - \Gntypluhsp -> No File <==== ATTENTION
FirewallRules: [{7E574B5A-F473-4220-A055-84DF8E43F763}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

+

Нажмите Win + R, введите cmd и нажмите ENTER

Введите

systeminfo > desktop\sysinfo.txt

и нажмите ENTER.

Пришлите файл sysinfo.txt с рабочего стола.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

На этом закончим.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • NikiGromel
      Помогите с шифровальщиком, может кто сталкивался
      От NikiGromel
      Сообщение от взломщика:
      YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.
      Your Decryption ID: 365B91AF
      Contact:
      - Email: opnkey@gmail.com
      - Telegram: @pcrisk
      Warning:  
      - Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
      - Don't Waste Time. The Price Will Rise If You Delay!
      Free Decryption:
      - Send 3 Small Files (Max 1MB) For Free Decryption.
       
      Прикрепляю два зашифрованных файла
      Desktop.rar
×
×
  • Создать...