Перейти к содержанию

Шифровальщик. Жесть

quake-1000
 Поделиться

Рекомендуемые сообщения

quake-1000

quake-1000

Опубликовано
Опубликовано

Здравствуйте.

Поймал вирус шифровальщик. Изначально заражен был телефон на андройде. Далее заразился роутер через wifi. Возможно было наоборот.

Через роутер заразилось 3 компа с разными ос (7, 10, mint).

Получает права администратора. Блокирует все подозрительные действия. На роутере включил samba.

На винте сделал невидимые точки монтирования.

Шифранул немного файлов (то что успел).

Другие винты просто подвинул mbr.

При загрузке с live cd записывает сам вторую сессию даже если диск закрыт. Потом грузится вместе с ним.

Mhdd вначале не видит винт. На все реагирует abort. Когда вирус погружается - винт видится с паролем.

Хотел низкоуровневое форматирование сделать.

На одном из ноутов снял жесткие. Гружусь с чистого live dd- все равно откуда то лезет.

Были дампы вируса, все что смогу отправлю ниже.

Пока прикладываю возможный вариант по андройду.

Архив. Пароль FKTYRF

https://yadi.sk/d/GSPWCUnd3U8QkM

https://yadi.sk/d/ePQNCFbj3U9kkZ

Возможно заражен Яндекс диск. В папке синхронизации замечена папка с названием ".что-то" скрытая

Пишу с зараженого телефона. Жесть. Ни чё не работает.

Позже скину дампы, результаты проверок.

Еще что-то:

https://yadi.sk/d/5vQNQsK-3U9mdF

 

Пароль тотже

quake-1000

quake-1000

Опубликовано
  • Автор
Опубликовано

Перепрошивка через веб морду роутера ничего не дает.

Телефон тоже только полная перепрошивка. Но еще не факт, может еще глубже сидит

Сейчас виндовс поставлю

mike 1

mike 1

Опубликовано
Опубликовано

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

>> Модифицирован ключ запуска проводника
>> Повреждены настройки SafeBoot
 

2. Удалите остатки от Dr.Web с помощью этой https://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe утилиты в безопасном режиме

 

3. Сделайте новые логи.

quake-1000

quake-1000

Опубликовано
  • Автор
Опубликовано (изменено)

Новые логи


На 2х компьютерах он перепрошил или ограничил BIOS.

Из лайв сд под дос удалось увидеть несколько файлов прошивальщиков биоса.

тепепь даже при загрузке с лайв сд он уже присутствует в системе.

монтирует диск B:\

не понятно откуда он берет образ. Жесткие диски отключены физически. куда копать, может подскажите?

CollectionLog-2018.04.07-10.07.zip

Изменено пользователем quake-1000
quake-1000

quake-1000

Опубликовано
  • Автор
Опубликовано (изменено)

Шифрованных файлов как таковых пока нет.

Он просто архивы пока переименовывает в вид $abc.zip .iso и кладет в папку корзины.

Сдвинул mbr на диске.

Есть вроде как образ его диска, откуда он все тянет.

Ссылка:

1 Файл - https://mega.nz/#!TLIkSSYZ!m3_YhkhnthnglwIGlc_sKHAKS2iafl9OqeHCJ_xTfbU

2 файл - https://mega.nz/#!Ge40Cb4Y!wXgF8TeuBUrpvBScqFy5Gk9P6HSaeclRXDG-jkZi_o4

Пароль отправлю в л/с. Заархивирован дважды.

Изменено пользователем quake-1000
  • 4 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lesnik888
      data-centr@tech-center.com требуют денег
      Автор Lesnik888
      Добрый день,Евгений! У знакомых сломали компьютер,оставили только вот такое сообщение-
      "Здравствуйте.
      В течении продолжительного времени с Вашим сервером была проведена большая работа по перемещению всех доступных данных в расширенное
      облачное хранилище. В случае если данные представляют для Вас ценность просьба дать нам о этом знать написав на data-centr@tech-center.com
      в сообщении указав 3719595
      В случае своевременного обращения гарантируем полный возврат данных."
       
      Пробуем восстановить данные.Не сталкивались ли вы с такими?Как можно им защитится в будущем от подобного?
      С уважением,Александр.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
    • pavuk-rv
      Файлы зашифрованы Trojan.Encoder.7223
      Автор pavuk-rv
      Здравствуйте!
      Зашифрованы файлы, Др.ВЕБ сделали заключение: 
       
      Есть ли у Вашей лаборатории возможность расшифровать файлы?
      Файлы протоколов прикрепляю.
      CollectionLog-2017.04.12-17.36.zip
      report2.log
      AutoLogger.zip
    • andrew0352
      Вирус шифровальщик *.decryptallfiles3@india
      Автор andrew0352
      Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

      1-я часть файла не шифрованный

      2-я часть файла не шифрованный

      1-я часть файла шифрованный

      2-я часть файла шифрованный
      CollectionLog-2017.03.08-14.54.zip
      foto-good.part1.rar
      foto-good.part2.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar
    • noname61
      Помогите с шифровальщиком
      Автор noname61
      Клиенты поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора, покупка тоже не привела к успеху, деньги ушли в неизвестность. Прошу помощи по данному вирусу. Прилагаю файл вируса, ключ с ссылкой, а так же 2 файла (зашифрованный и дешифрованный)
    • Viktor3954135
      Случайно запустил из почты скрипт
      Автор Viktor3954135
      Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

      Что он мог натворить и как избавиться???
       
      AVZ зависает при начале прямого чтения много багов...
       
      Помогите исправить....
       
      прикрепил логи AVZ и тот скрипт что приехал...
       
       
      Заранее спасибо...
×
×
  • Создать...