Перейти к содержанию

Шифровальщик [cryptomafia@tuta.io]

kopobko
 Поделиться

Рекомендуемые сообщения

kopobko

kopobko

Опубликовано
Опубликовано (изменено)

Добрый день. 

 

Поймал шифровальщик, зашифрованы все файлы на компьютере.

 

Все пароли изменил.

Также заметил что был создан батник в папке Win/System32/1.bat

в батнике 1 файл, чтобы установить из рядомлежащего файла(1.inf) содержимое.

Содержимое файла:

 

[unicode]
Unicode=yes
[Registry Values]
[Privilege Rights]
SeDenyRemoteInteractiveLogonRight = "Administrator"
[Version]
signature="$CHICAGO$"
Revision=1
[Profile Description]
Description=Local Security Template

 

Скачал Farbar Recovery Scan Tool

Просканировал им, лог прикладываю

 

Возможно как то расшифровать файлы?

enc.zip

Изменено пользователем kopobko
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Текстовое сообщение с требованием выкупа есть? Если да, его вместе с парой зашифрованных документов упакуйте и тоже прикрепите к следующему сообщению.

kopobko

kopobko

Опубликовано
  • Автор
Опубликовано

Текстовое сообщение с требованием выкупа есть? Если да, его вместе с парой зашифрованных документов упакуйте и тоже прикрепите к следующему сообщению.

Файл и текст приложил, пошел выполнять скрипт и ребут

text and file.zip

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт закрыл дыру, через которую зловред попал в систему. Меняйте пароли на RDP и программы удаленного доступа.

 

С расшифровкой, к сожалению, помочь не сможем.

 

Для очистки следов:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-01-27 03:50 - 2018-01-27 03:50 - 000000113 _____ C:\Program Files\How Recovery Files.txt
2018-01-27 03:41 - 2018-01-27 03:42 - 000000113 _____ C:\Program Files (x86)\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLServerOLAPService\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLServerOLAPService\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLSERVER\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLSERVER\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLFDLauncher\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MSSQLFDLauncher\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MsDtsServer110\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\MsDtsServer110\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Default\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Default\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Default User\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Administrator\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Administrator\Documents\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Administrator\Desktop\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\Users\Administrator\AppData\Roaming\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 07:16 - 000000113 _____ C:\ProgramData\How Recovery Files.txt
2018-01-27 03:37 - 2018-01-27 03:37 - 000000113 _____ C:\Users\Administrator\Downloads\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\vlad\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\vlad\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\vlad\Desktop\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\USR1CV8\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\USR1CV8\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\SQLSERVERAGENT\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\SQLSERVERAGENT\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\ReportServer\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\ReportServer\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\Public\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\Public\Desktop\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\nik\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\nik\Downloads\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\nik\Documents\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\Users\nik\Desktop\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 07:15 - 000000113 _____ C:\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000113 _____ C:\Users\vlad\Downloads\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000113 _____ C:\Users\USR1CV8\Desktop\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000113 _____ C:\Users\Public\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000113 _____ C:\Users\Public\Downloads\How Recovery Files.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000113 _____ C:\Users\Administrator\AppData\Roaming\recovery.txt
2018-01-27 03:35 - 2018-01-27 03:35 - 000000068 _____ C:\Windows\system32\1___.bat
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Согласен 1
Sandor

Sandor

Опубликовано
Опубликовано

Меняйте пароли на RDP и программы удаленного доступа

+

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  • Согласен 1
kopobko

kopobko

Опубликовано
  • Автор
Опубликовано

 

Меняйте пароли на RDP и программы удаленного доступа

+

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Спасибо. Жаль что не расшифровать никак :(

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dostupnaya-sreda
      Вирус вымогатель на Windows Server 2008R2, файлы зашифрованы с расширением rapid
      Автор dostupnaya-sreda
      Здравствуйте! 
      Опишу как было дело.
       
      Утром в 9:00 запустил рабочий комп и 1С, минут 5 работало всё хорошо, затем 1С перестала отвечать.
      Попытался по RDP подключится к серверу выдало мол сервер не отвечает.
       
      Подошёл к серверу, запустил под админом и вижу открытый блокнот с надписью 
       
      Вырубил сетку, чтобы зараза дальше не пошла.
      Убедился что все файлы на 3 жёстких дисках зашифрованы.
       
      Нашёл Ваш форум и правила оформления заявки. Далее старался делать как указано в правилах, прогнал kvrt и cureit.
      cureit ругнулся на Tool.HideFolders.4 Путь: С:\Windows\System32\Drivers\FSPFLtd2.sys
       
      Далее запустил AutoLogger.exe и  Farbar Recovery Scan Tool
      Их отчёты а так же примеры зашифрованных файлов  прикрепляю. Пароль на архив с заражёнными файлами 0000.
      Shortcut.rar
    • рсн
      Шифровальшик Trojan-Ransom.Win32.Agent
      Автор рсн
      Поймали на сервер шифровальщик. в техподдержке определили как Trojan-Ransom.Win32.Agent.
      Помогите удалить записи с ним ( сервер отключили от сети), тк надо переустанавливать программы.
      шифровальшик с требованием выплатить для расшифровки бит-коин в размере 0,4 на адрес
      frenkmoddy@tuta.io. На сервере и локалках стоит лицензионный Касперский
      файлы имеют расширение rapid. зашифровало как документы там и другие типы файлов.
      Прогнал FRST сканирование. 
       
      FRST.txt
      Addition.txt
    • Kenu
      шифровальщик rapid
      Автор Kenu
      Здравствуйте,словили этот шифратор сегодня ночью,хотелось бы что бы вы помогли в убирании последствий этого вируса,а так же в помощи расшифровки этих файлов,kvrt и cureit проверил,что-то удалил,но мне кажется не всё,заранее благодарен за потраченное время.
       
      Текст записки:
      Hello! All your files have been encrypted by us If you want restore files write on e-mail - frenkmoddy@tuta.io CollectionLog-2018.01.24-11.51.zip
    • Андрей Шанин
      Шифровальщик зашифровал все данные сервера
      Автор Андрей Шанин
      На сервере зашифрованы и программы и файлы.
      Чтобы разархивировать Сборщика логов пришлось устанавливать архиватор заново.
      Как вирус попал на сервер не известно.
      CollectionLog-2018.01.21-06.59.zip
    • Alexey Krikun
      Шифровальщик trojan.win32.Generic
      Автор Alexey Krikun
      Прошу помощи. Зашифрован весь винчестер. Все файлы стали с расширением .jpg
      Прилагаю запароленый архив в котором две папки с оригиналами и зашифроваными файлами.
      Пароль 1
      Если нужно могу прислать сам вирус noputana.exe
      Krikun.zip
×
×
  • Создать...