Перейти к содержанию

Рекомендуемые сообщения

Коллеги подцепили вирус шифровальщик. Были заражены компьютеры с информацией по Итальянским партнерам, то что могли восстановить восстановили но осталось много важных документов без копии. Файлы приобрели название типа

miofile.txt.txt.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

12 Traccia 12.wma.id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java

 

Что делать и кто виноват в ненадлежащей безопасности ясно. Нужно понять есть ли возможность не идти на поводу у хакеров и не платить или все же придется платить. Каковы шансы обойтись без оплаты хакерам? Восстанавливать по любому придется только вот если платить то лучше не хакерам. 

Пробовал ransomwarefiledecryptor на образцы зашифрованных файлов применить. В поле тип вируса писал не знаю - определялось как Crysis зараженные файлы находились а расшифрованные=0

 Те кто мне пересылал написали что это один из вариантов CrySiS называется Dharma но они не уверены

Выслали мне наконец требуемый Collectionlog+требование оплатить расшифровку+ есть образцы зашифрованных файлов. несколько файлов в зашифрованном и не зашифрованном виде - оригинал+зашифрованная версия (то что предлагалось расшифровать бесплатно)

 

CollectionLog-2018.02.27-17.30.zip

образцы файлов зашифрованный и оригинал.zip

требование оплатить расшифровку.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OracleRemExecServiceV2');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '');
 QuarantineFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\123.exe', '32');
 DeleteFile('C:\Users\VALFER~1\AppData\Local\Temp\oraremservicev2\RemoteExecService.exe', '32');
 DeleteService('OracleRemExecServiceV2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Administrator\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

-


Прошу прощения за задержку. После первого запуска AutoLogger и присланного Вам по итогам CollectionLog сервер перестал работать. 2 дня специалисты пытались восстановить сервер и выполнить скрипт, но безуспешно. Сервер который анализировался изначально восстановлению не подлежит, но зашифрованные файлы остались.
Однако удалось найти отдельный компьютер, который по подозрениям мог быть источником заражения.
В приложении новый CollectionLog  именно с этого компьютера. Скрипт пока не делали поскольку хотел у Вас узнать надо ли его делать. Так как объект анализа изменился и отличается от первоначального. Готовы сделать скрипт если Вы подтвердите. 

CollectionLog-2018.03.02-18.11.zip

Изменено пользователем Рик
Ссылка на сообщение
Поделиться на другие сайты

@Рик, почему вы пишите с другой учётной записи? 

Да проблема в том что на момент написания первого сообщения в данной теме у меня не было компьютера и данных на Рика (я изначально под Риком заходил на форум где-то год назад), вот и пришлось новый ник делать. Сегодня писал с родного компьютера там по умолчанию Рик стоит. Согласен это не совсем хорошо поэтому если нужно прошу удалить лишнюю запись (обе были сделаны на идентичные ящики только с разницей один mail другой gmail.

Можете Алео удалить а я например по ссылке в ящике подтвержу (на ваше усмотрение).

@Рик, почему вы пишите с другой учётной записи? 

Поправка оба ящика на gmail и они не идентичны (могу в ЛС отправить все данные по ящику и нику). Предупреждение видел.

Больше такого не повторится.

В прошлый раз мы пытались решить проблему знакомой компании с вирусом Hakuna Matata, тогда ввиду ограниченного времени пришлось обращаться в компанию и платить деньги (по сути тем же хакерам). Ключ сумели подобрать. Теперь проблема возникла у партнеров той компании.

Сейчас времени чуть больше  и очень не хочется опять обращаться к около легальным компаниям. Тем более что после атаки еще и сервер накрылся. Проблема как и в первом случае идентична зашифрованы файлы, которые нужны для отчетности компании и работы с госструктурами. Без расшифровки невозможно, а кормить хакеров тоже не хочется. Вот и пишу сюда с надеждой.

Информация

Ответил в ЛС

Изменено пользователем Soft
Ссылка на сообщение
Поделиться на другие сайты

сервер перестал работать

Вероятно это совпадение. В скрипте ничего жизненно важного для системы не задето.

 

компьютер, который по подозрениям мог быть источником заражения

Пока никаких следов не видно.

 

Дополнительно на этом же компьютере:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

 


В скрипте ничего жизненно важного для системы не задето.

Да в этом сомнений нет. Сервер перестал работать до скрипта. Мы не смогли на нем выполнить процедуру скрипта. Сервер просто больше не включился.

В связи с этим вопрос нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Процедуру Farbar Recovery Scan Tool постараемся сделать

Ссылка на сообщение
Поделиться на другие сайты

нужно ли выполнять процедуру описанную во 2м сообщении этой темы?

Нет, не нужно. Это было написано только для той системы.
Ссылка на сообщение
Поделиться на другие сайты

 

 


Да в этом сомнений нет. Сервер перестал работать до скрипта.
У вас был активный вирус в Автозагрузке. Так что скорее всего он просто дошифровал какие-то важные для сервера файла и из-за этого сервер лёг. А сбором логов скорее всего совпало из-за того, что во время сбора произошло обращение (чтение) к этим файлам.
Ссылка на сообщение
Поделиться на другие сайты

Файл

C:\Users\a.cavatorta\Documents\scpres.vbs

Вам известен?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    C:\WINDOWS\system32\default_error_stack*.txt
    2018-02-26 14:43 - 2018-02-26 14:44 - 000000255 _____ C:\Users\a.cavatorta\Desktop\X VALOTTA FILE DA RECUPERARE.txt
    2018-02-26 22:54 - 2018-02-26 22:54 - 000000000 _____ () C:\Users\a.cavatorta\AppData\Local\Temp\1.dll
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

 


C:\Users\a.cavatorta\Documents\scpres.vbs Вам известен?

Не уверен. А что это? Может местным он известен. Скажите что с этим надо делать. Остальную инструкцию сейчас будем делать

Ссылка на сообщение
Поделиться на другие сайты

 

 


Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать)

Файл scpres.vbs прикрепим


 

 


Я правильно понял что код нужно не просто скопировать а вставить в поле поиск прежде чем нажать Фикс. А то у вас не указано что его надо вставлять куда-либо. (Уточняю чтобы все правильно сделать) Файл scpres.vbs прикрепим

Вопрос снимается, прочитал инструкцию

Ссылка на сообщение
Поделиться на другие сайты

Вот требуемые файлы. Написал также письмо. Однако туда scpres.vbs не захотел прикрепляться (система пересылки такие файлы не пропускает). Отправил через ссылку.

Ждем дальнейших указаний...

Fixlog.zip

scpres.zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • От SecHijack
      Доброго дня форумчане! Беда у меня! На сервере под ОС Windows server 2016 появился коронавирус. Утилита Emsisoft распознает его как SecHijack но удалить его не может. Он (или не он) блокирует панель управления. Меня политику, менял реестр, ничего не помогло. Сам вирус тоже не удаляется. С реестра напрямую удалил, какое-то время его не было, но потом опять появился. Это одна из бед. Когда удалось мне запустить диспетчер задач, то обнаружил в процессах некий процесс под названием VMware Tools Core Service. Также в службах непонятную службу с названием X. После удаления с реестра файла, на которого ссылался sechijack, отключил службу Х. Но с появлением нового SecHijack появилась новая службу под названием XX


      Также как видите в 1 скрине работают какие то непонятные службы от непонятных юзеров. Прошу помочь с удалением вируса 
       
    • От DarDOne
      Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"
      CollectionLog-2021.10.17-03.47.zip
    • От OrionBlack
      На работе подключил свою флешку  к компу
      вернулся домой на флешке файлы MusaLLaT.exe
      Ozel Dosyalar.exe
      на компе не было антивирусника успел заразиться 
      вирус блокает диспетчер задач командную строку и редактор реестра 
      с помощью 
      Kaspersky Virus Removal Tool;
      реестр стал открываться пока правок не делал
      диспетчер всё так же в отключке 
      права администратора забрал себе вирусник CollectionLog-2021.10.14-19.12.zip
    • От Sophinator
      Добрый день!
       
      Заметила, что стал тупить ноутбук (MSI GF63), хотя раньше за ним такого не замечала никогда. Зависает, когда переношу файлы в проводнике, при пользовании Хромом и Microsoft Edge (я в нём PDF-файлы просматриваю). И меня заблокировали в некоторых социальных сетях, в которые я заходила через браузер. Решила проверить на вирусы, Microsoft Defender выявил 2 угрозы (вложения 1, 2). Торрент - оно понятно, телеграм раньше тоже считала, что ругается просто на приложение стороннее, но загуглила про Uwasson, отправила лечиться и удаляться. Телеграм вроде как работает.
      Скачала dr.web.cureit, прогнала им, ничего не нашёл вроде (файл под названием cureit.log во вложениях). Полезла в интернет, нашла этот форум, скачала malwarebytes, ещё и им прогнала (отчёт в файле .txt под названием virus). Нашёл ещё заражённый файл, но в интернете я ничего толкового понять не смогла, а расположение пугает.
       
      Логи собрала, файл также во вложениях.
       
      Буду рада помощи, а ещё больше буду рада, если мне скажут, что это всё ок и я паникёрша.
       
      Спасибо!
       


      CollectionLog-2021.10.01-09.11.zip virus.txt cureit.log
×
×
  • Создать...