Перейти к содержанию

Шифровальщик [deblans@protonmail.com].arrow

FL0od
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\1U9C8B9.exe','');

 QuarantineFile('C:\Users\Administrator\Start Menu\Programs\Startup\1U9C8B9.exe','');

 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe','');

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe','');

 StopService('AmmyyAdmin');

 DeleteService('AmmyyAdmin');

 StopService('AdobeFlashPlayerHash');

 DeleteService('AdobeFlashPlayerHash');

 QuarantineFile('C:\Windows\HhSm\taskmrg.exe','');

 TerminateProcessByName('c:\windows\debug\wia\services.exe');

 QuarantineFile('c:\windows\debug\wia\services.exe','');

 TerminateProcessByName('c:\programdata\microsoft\windows\start menu\programs\startup\1u9c8b9.exe');

 QuarantineFile('c:\programdata\microsoft\windows\start menu\programs\startup\1u9c8b9.exe','');

 DeleteFile('c:\programdata\microsoft\windows\start menu\programs\startup\1u9c8b9.exe','32');

 DeleteFile('c:\windows\debug\wia\services.exe','32');

 DeleteFile('C:\Windows\HhSm\taskmrg.exe','32');

 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta','32');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe','32');

 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe','32');

 DeleteFile('C:\Users\Administrator\Start Menu\Programs\Startup\1U9C8B9.exe','32');

 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\1U9C8B9.exe','32');

ExecuteSysClean;

end.


 


 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера)

 




O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe    ->    (PE EXE)

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

O4 - HKLM\..\Run: [1U9C8B9.exe] = C:\Windows\System32\1U9C8B9.exe

O4 - HKLM\..\Run: [C:\Users\Administrator\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Administrator\AppData\Roaming\Info.hta"

O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"

O4 - HKLM\..\Run: [workout.exe] = C:\Users\Public\workout.exe  (file missing)

O4 - User Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1U9C8B9.exe    ->    (PE EXE)

O4 - User Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

O26 - IFEO: HKLM\..\DisplaySwitch.exe: [Debugger] = C:\windows\system32\cmd.exe

O26 - IFEO: HKLM\..\Utilman.exe: [Debugger] = C:\windows\system32\cmd.exe

O26 - IFEO: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe


 

Сделайте новые логи Автологгером. 
Изменено пользователем mike 1
FL0od

FL0od

Опубликовано
  • Автор
Опубликовано

Всё сделал. Новые логи во вложении.

 

Карантин отправить не могу, гугл отбивает из-за вложения. Запороленный тоже отбивает.

 

Прикрепил его здесь, на почту выслал пароль.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не загружайте quarantine.7z на форум.

 

CollectionLog-2018.04.04-08.16.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
FL0od

FL0od

Опубликовано
  • Автор
Опубликовано

К сожалению выполнять инструкции дальше не могу.

Сервер пришлось переустановить.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Paul99
      New MedusaLocker Strain Marlock7 | Can I get my files back without paying ransom?
      Автор Paul99
      HISTORY: We were hit with a ransom attack. My daily backups were deleted by the attackers. The backups were situated on a NAS (Synology RS814+) I have sent this appliance into a professional Data Recovery Company (WeRecoverData) in the hopes the files on it can be recovered. If this works I can restore my entire network shares and folders from an Arcserve UDP backup that is current to the date of the attack.  I also have an off-site copy of the restoration files on an external USB drive.  Unfortunately this was created using Arcserve's File Copy job, and my data being backed up was taking longer and longer to complete copy job. Data as a whole was growing incredibly large fast, and network files were making for 19+ days to create a copy job over the network. I used this copy to carry out of premises. That copy has a last successful copy job of backup files that is 6.5 months old.  My hope is that there is a known decryption tool for the medlock7 ransomware. I have access to my server and all encrypted files are still intact. My question, can I restore/repair these files without paying the attackers?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...