Перейти к содержанию

*.hvsgt шифровальщик


Рекомендуемые сообщения

Здравствуйте! Поймал вирус, отчеты Farbar Recovery Scan Tool во вложении, зашифровал в т.ч бэкапы


Пожалуйста, помогите с расшифровкой


Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\abakhmanova\desktop\csrs.exe');
 TerminateProcessByName('c:\users\admin\desktop\svchоst.exe');
 TerminateProcessByName('C:\Windows\System32\svchоst.exe');
 QuarantineFile('C:\Users\ABakhmanova\AppData\Roaming\csrs.exe', '');
 QuarantineFile('C:\Users\ABakhmanova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url', '');
 QuarantineFile('c:\users\abakhmanova\desktop\csrs.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\svchоst.exe', '');
 QuarantineFile('c:\users\admin\desktop\svchоst.exe', '');
 QuarantineFile('C:\Windows\System32\svchоst.exe', '');
 DeleteFile('C:\Users\ABakhmanova\AppData\Roaming\csrs.exe', '32');
 DeleteFile('C:\Users\ABakhmanova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url');
 DeleteFile('c:\users\abakhmanova\desktop\csrs.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\svchоst.exe', '32');
 DeleteFile('c:\users\admin\desktop\svchоst.exe', '32');
 DeleteFile('C:\Windows\System32\svchоst.exe', '32');
 DeleteFile('hvsgt шифровальщик'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Servicing" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2643028297-3429872493-2339584265-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'CertificatesCheck');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2643028297-3429872493-2339584265-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Winhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-6949603092]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrs.exe - Trojan-Dropper.Win32.Injector.tanf
svchоst.exe - Trojan-Ransom.Win32.Purgen.mm
svchоst_0.exe - Trojan-Ransom.Win32.Purgen.mm

В антивирусных базах информация по присланным вами файлам отсутствует:
Winhost.url

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
svchоst_1.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.iadd

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Ссылка на комментарий
Поделиться на другие сайты

Прикладываю новый лог автологгера


Нашел пару зашифрованный\незашифрованный, прикладываю

CollectionLog-2017.10.09-12.57.zip

пара-зашифр-незашифр.zip

Изменено пользователем defaultuser2018
Ссылка на комментарий
Поделиться на другие сайты

Не спешите.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Соберите свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\YViansianen\Как расшифровать файлы.TXT
    2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\YPivovarova\Как расшифровать файлы.TXT
    2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\MEvgenyeva\Как расшифровать файлы.TXT
    2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\DMinikhanova\Как расшифровать файлы.TXT
    2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\DefaultAppPool\Как расшифровать файлы.TXT
    2017-10-07 19:57 - 2017-10-07 19:57 - 000006517 _____ C:\Users\Adm\Как расшифровать файлы.TXT
    2017-10-06 11:03 - 2017-01-26 22:05 - 001466213 _____ C:\Windows\system32\svchоst.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо!

На другом диске файлы с расширением .zuzya, их восстановление по описанной вами схеме не работает, прикладываю зашифрованный\не зашифрованный файл и жду дальнейших инструкций

zuzya_coded_uncoded.zip

Ссылка на комментарий
Поделиться на другие сайты

Увы, это GlobeImposter 2.0 и для него нет инструментов.

 

Смените пароль к RDP на сложный.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо огромное! В процессе! Пока вообще закрыл рдп порт на роутере от греха подальше.

Скажите, а какова вероятность что вирус все еще присутствует на этом конкретном компе?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Павел Ф.
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
×
×
  • Создать...