Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Шифровальщик [kinaman@protonmail.com].dcrtr

francyz
 Поделиться

Рекомендуемые сообщения

francyz Новичок

francyz

Опубликовано
Опубликовано

Добрый день! Зашифровало все файлы в системе под именем ***.[kinaman@protonmail.com].dcrtr. Сам шифровальщик уже вылечили. Можно ли расшифровать как-то файлы? Спасибо

Ссылка на комментарий
Поделиться на другие сайты
francyz Новичок

francyz

Опубликовано
  • Автор
Опубликовано

Извините, все сделал по инструкции но забыл приложить файл логов.

CollectionLog-2018.04.04-08.36.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Если есть текстовый файл с требованием выкупа, его, вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: MssHostEngine [command] = C:\Users\Olga\AppData\Roaming\msshost.exe  (file missing) (HKCU) (2018/04/03)
O22 - Task: SpyHunter4Startup.bak - C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe /s (file missing)
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Task: {13FEEE4F-F6A5-4BBE-A8A0-2A9831EF3A67} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: {3CDB1F2A-D8FE-4E93-BBB7-1B5D2D6B14F8} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
Task: {6AA0CD6B-1889-47B9-B249-82B44F37C5F5} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
Task: {D0F4545D-5326-429B-952A-AF12AED2133D} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
francyz Новичок

francyz

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Task: {13FEEE4F-F6A5-4BBE-A8A0-2A9831EF3A67} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: {3CDB1F2A-D8FE-4E93-BBB7-1B5D2D6B14F8} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
Task: {6AA0CD6B-1889-47B9-B249-82B44F37C5F5} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
Task: {D0F4545D-5326-429B-952A-AF12AED2133D} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

По расшифровке пока ничего определенного сказать не могу. Нечто новое и пока в стадии изучения.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

+

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".

В поле вставьте строки:

C:\Windows\System32\rasauto.dll
C:\Windows\system32\hidserv.dll
C:\Windows\system32\wecsvc.dll
Нажмите Go.

Отчёт DigiSign.csv прикрепите в архиве.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Сделал все выше сказанное, выходит остается только ждать теперь... Спасибо и на том.

Так ждать можно довольно долго. Даже если и есть расшифровка в техподдержке ее будут предоставлять индивидуально по запросу в техподдержку, а если запросов не будет, то вообще не станут этим заниматься. Универсального решения я думаю не будет. 

Ссылка на комментарий
Поделиться на другие сайты
francyz Новичок

francyz

Опубликовано
  • Автор
Опубликовано

 

Сделал все выше сказанное, выходит остается только ждать теперь... Спасибо и на том.

Так ждать можно довольно долго. Даже если и есть расшифровка в техподдержке ее будут предоставлять индивидуально по запросу в техподдержку, а если запросов не будет, то вообще не станут этим заниматься. Универсального решения я думаю не будет. 

 

Будем тогда искать другие решения, спасибо

+

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".

В поле вставьте строки:

C:\Windows\System32\rasauto.dll
C:\Windows\system32\hidserv.dll
C:\Windows\system32\wecsvc.dll

Нажмите Go.

Отчёт DigiSign.csv прикрепите в архиве.

 

Возьми любые несколько файлов.

После обеда смогу это сделать и тогда опишусь.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


правда во время процедуры выбило вот такую ошибку
похоже какие-то системные файлы повреждены отвечающие за проверку подписи.

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • workforfuns
      Шифровальщик Elenor-corp
      Автор workforfuns
      Здравствуйте, появился ли дешифратор?
      Addition.txt FRST.txt ЭЛЕНОР КОРП (1).7z
×
×
  • Создать...