Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

Поймал вирус шифровальщик. Изначально заражен был телефон на андройде. Далее заразился роутер через wifi. Возможно было наоборот.

Через роутер заразилось 3 компа с разными ос (7, 10, mint).

Получает права администратора. Блокирует все подозрительные действия. На роутере включил samba.

На винте сделал невидимые точки монтирования.

Шифранул немного файлов (то что успел).

Другие винты просто подвинул mbr.

При загрузке с live cd записывает сам вторую сессию даже если диск закрыт. Потом грузится вместе с ним.

Mhdd вначале не видит винт. На все реагирует abort. Когда вирус погружается - винт видится с паролем.

Хотел низкоуровневое форматирование сделать.

На одном из ноутов снял жесткие. Гружусь с чистого live dd- все равно откуда то лезет.

Были дампы вируса, все что смогу отправлю ниже.

Пока прикладываю возможный вариант по андройду.

Архив. Пароль FKTYRF

https://yadi.sk/d/GSPWCUnd3U8QkM

https://yadi.sk/d/ePQNCFbj3U9kkZ

Возможно заражен Яндекс диск. В папке синхронизации замечена папка с названием ".что-то" скрытая

Пишу с зараженого телефона. Жесть. Ни чё не работает.

Позже скину дампы, результаты проверок.

Еще что-то:

https://yadi.sk/d/5vQNQsK-3U9mdF

 

Пароль тотже

Ссылка на сообщение
Поделиться на другие сайты

лечение выполняется только на ПК с Windows
внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты

Перепрошивка через веб морду роутера ничего не дает.

Телефон тоже только полная перепрошивка. Но еще не факт, может еще глубже сидит

Сейчас виндовс поставлю

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

>> Модифицирован ключ запуска проводника
>> Повреждены настройки SafeBoot
 

2. Удалите остатки от Dr.Web с помощью этой https://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe утилиты в безопасном режиме

 

3. Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты

Новые логи


На 2х компьютерах он перепрошил или ограничил BIOS.

Из лайв сд под дос удалось увидеть несколько файлов прошивальщиков биоса.

тепепь даже при загрузке с лайв сд он уже присутствует в системе.

монтирует диск B:\

не понятно откуда он берет образ. Жесткие диски отключены физически. куда копать, может подскажите?

CollectionLog-2018.04.07-10.07.zip

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты

Шифрованных файлов как таковых пока нет.

Он просто архивы пока переименовывает в вид $abc.zip .iso и кладет в папку корзины.

Сдвинул mbr на диске.

Есть вроде как образ его диска, откуда он все тянет.

Ссылка:

1 Файл - https://mega.nz/#!TLIkSSYZ!m3_YhkhnthnglwIGlc_sKHAKS2iafl9OqeHCJ_xTfbU

2 файл - https://mega.nz/#!Ge40Cb4Y!wXgF8TeuBUrpvBScqFy5Gk9P6HSaeclRXDG-jkZi_o4

Пароль отправлю в л/с. Заархивирован дважды.

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Ничего нового, кроме компьютера.

Новые логи


удалил smart switch, express vpn

CollectionLog-2018.05.07-04.55.zip

CollectionLog-2018.05.07-05.12.zip

Изменено пользователем quake-1000
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Калинин Евгений
      Помогите расшифровать файлы. Все файлы во вложении
      Addition.txt FRST.txt RESTORE_FILES_INFO.txt u_ex170709.log.[ID-FE4528A8].[john2wick@tuta.io].zip
    • От Krazos
      Здравствуйте, после ночной атаки был зашифрован сервер. При запуске системы Windows Server 2008 R2 на начальном экране ввода пользователя с паролем происходит автоматическая перезагрузка. 
      Есть шанс на дешифровку? Файлы прилагаю.
      Зашифрованные файлы с текстом вымогателей.rar FRST.txt
    • От MatroskinPR
      Здравствуйте
      Столкнулся с проблемой зашифрованных файлов на моём пк, в какой момент это произошло и после каких действий сказать точно не могу, так же обнаружил что был удалён антивирус, утром он ещё был.
      Все файлы переименованы с ссылкой {yourdataonline@aliyun.com}, можно ли их спасти?
      Прикрепляю логи и некоторые файлы в том числе и файл с некоторой инструкцией который удалось найти
      Addition.txt FRST.txt Архив WinRAR.rar
      Чуть не забыл про само требование
      RESTORE_FILES_INFO.txt
    • От Успех Каждому
      Добрый день, сотрудник поймал вирус-шифровальщик на ноутбуке, файлы переименовались в расширение *.*.[ID-215CFE80].[kingkong2@tuta.io].VIPxxx. Логи FRST прислать не могу, т.к из за шифровальщика не запускается система. Прилагаю 2 зашифрованных файла а также записку о выкупе. Что это за название шифровальщика и есть ли решение по расшифровке файлов ?
      Archive.zip
    • От kormash
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420 Как нибудь можно расшифровать,буду очень благодарен
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420.zip
×
×
  • Создать...