Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

Поймал вирус шифровальщик. Изначально заражен был телефон на андройде. Далее заразился роутер через wifi. Возможно было наоборот.

Через роутер заразилось 3 компа с разными ос (7, 10, mint).

Получает права администратора. Блокирует все подозрительные действия. На роутере включил samba.

На винте сделал невидимые точки монтирования.

Шифранул немного файлов (то что успел).

Другие винты просто подвинул mbr.

При загрузке с live cd записывает сам вторую сессию даже если диск закрыт. Потом грузится вместе с ним.

Mhdd вначале не видит винт. На все реагирует abort. Когда вирус погружается - винт видится с паролем.

Хотел низкоуровневое форматирование сделать.

На одном из ноутов снял жесткие. Гружусь с чистого live dd- все равно откуда то лезет.

Были дампы вируса, все что смогу отправлю ниже.

Пока прикладываю возможный вариант по андройду.

Архив. Пароль FKTYRF

https://yadi.sk/d/GSPWCUnd3U8QkM

https://yadi.sk/d/ePQNCFbj3U9kkZ

Возможно заражен Яндекс диск. В папке синхронизации замечена папка с названием ".что-то" скрытая

Пишу с зараженого телефона. Жесть. Ни чё не работает.

Позже скину дампы, результаты проверок.

Еще что-то:

https://yadi.sk/d/5vQNQsK-3U9mdF

 

Пароль тотже

Ссылка на сообщение
Поделиться на другие сайты

лечение выполняется только на ПК с Windows
внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты

Перепрошивка через веб морду роутера ничего не дает.

Телефон тоже только полная перепрошивка. Но еще не факт, может еще глубже сидит

Сейчас виндовс поставлю

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

>> Модифицирован ключ запуска проводника
>> Повреждены настройки SafeBoot
 

2. Удалите остатки от Dr.Web с помощью этой https://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe утилиты в безопасном режиме

 

3. Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты

Новые логи


На 2х компьютерах он перепрошил или ограничил BIOS.

Из лайв сд под дос удалось увидеть несколько файлов прошивальщиков биоса.

тепепь даже при загрузке с лайв сд он уже присутствует в системе.

монтирует диск B:\

не понятно откуда он берет образ. Жесткие диски отключены физически. куда копать, может подскажите?

CollectionLog-2018.04.07-10.07.zip

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты

Шифрованных файлов как таковых пока нет.

Он просто архивы пока переименовывает в вид $abc.zip .iso и кладет в папку корзины.

Сдвинул mbr на диске.

Есть вроде как образ его диска, откуда он все тянет.

Ссылка:

1 Файл - https://mega.nz/#!TLIkSSYZ!m3_YhkhnthnglwIGlc_sKHAKS2iafl9OqeHCJ_xTfbU

2 файл - https://mega.nz/#!Ge40Cb4Y!wXgF8TeuBUrpvBScqFy5Gk9P6HSaeclRXDG-jkZi_o4

Пароль отправлю в л/с. Заархивирован дважды.

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Ничего нового, кроме компьютера.

Новые логи


удалил smart switch, express vpn

CollectionLog-2018.05.07-04.55.zip

CollectionLog-2018.05.07-05.12.zip

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Etmeranta
      Здравствуйте!
      На сервере шифровальщик зашифровал всю информацию, которая была в общем доступе. Предполагаю, что заражение произошло через RDP. Большую часть информации восстановили из бэкапа.  Прочитала на форуме, что решения по этому шифровальщику пока нет. Помогите, пожалуйста, очистить следы вымогателя. И еще после шифровальщика рабочие станции  под управлением astra linux перестали подключаться к серверу, на котором вообще нет следов шифровальщика. А win станции работают с этим сервером по RDP в обычном режиме. Не подскажите в чем может быть проблема?
      Addition.txt FRST.txt доки.rar
    • От belokuriha
      Добрый день. Очень сильно нужна помощь . Сегодня с утра включил компьютер , и обнаружил что все файлы были зашифрованы . Висит табличка с указанием сколько нужно денег и какой адрес слать .
       
      Попробовал утилитку RakhniDecryptor , к сожалению она сказала что не знает такие файлы. Подскажите как я могу расшифровать , хотя бы  базы и часть сайта нужно забрать с диска.
    • От babikov
      Позавчера зашифровали большое количество файлов, не смогли бы помочь с расшифровкой? Прикладываю оригинал, зашифрованный файл и readme вируса.
       
      Оригинал.zipЗашифрованный файл.zip!!! Readme !!!.zip
    • От Andrey3254
      На одном из компьютеров, и на всех доступных по сети папках были зашифрованы файлы.
      шифровальщик5.rar
    • От KonstantinXX
      Сегодня 08.02 тоже зашифровались все файлы на компьютере. после расширения файла появилась приписка [vm1iqzi@aol.com].word. Что можно сделать? Тоже были подключения по RDP
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...