Перейти к содержанию

Шифратор szem@tutanota.com

Maxim Shadrin
 Share

Рекомендуемые сообщения

Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
Опубликовано

Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 

Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE

Помогите пожалуйста! 

 

readme exe .zip

Desktop.zip

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Прикрепляю логи Kaspersky Virus Removal Tool и файл вируса
Боюсь запускать Autologger т.к. после перезагрузки ПК может не запустится
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносы

post-49906-0-71582800-1527154643_thumb.jpg

report_20180524_162435.klr.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Updater');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','');
 QuarantineFile('C:\Windows\Media\Long\certsvc.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\Media\Long\certsvc.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','64');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.hta','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.hta','64');
 DeleteFile('C:\Windows\wincare.exe','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1621\Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSystemCare');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1103\Software\Microsoft\Windows\CurrentVersion\Run','MediaSVC');
 DeleteFile('C:\Intel\updater.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
  • Обратите внимание: перезагрузкe компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ KLAN-8123905764Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
mms.exe
lsm.exe
mms_0.exe
mms_1.exe

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=59390&p=880638

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

Прикрепили новые логи 


У зараженного ПК был доступ к сетевой папке, в этой папке все документы зашифрованы 

CollectionLog-2018.05.25-18.59.zip

post-49906-0-13989800-1527246462_thumb.jpg

Изменено пользователем Maxim Shadrin
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Прикрепляем логи с зараженного ПК

 


Прикрепили логи с ПК где находится зашифрованная общая папка

FRST64 Logs.zip

Логи ПК где находится зашифрованная общая папка.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Local\Temp\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\ProgramData\README.hta
2018-05-24 13:00 - 2018-05-24 13:00 - 000009027 _____ C:\Users\Video\Desktop\README.hta
C:\Windows\Inf\axperflib
C:\Windows\Inf\NETLIBRARIESTIP
Task: {D625F6CA-3A86-428E-B8D1-65CB512E3972} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {65D7BC90-FE64-4248-9489-AB86C3CA2C3A} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {10597CF2-0D11-4F8F-8020-2CA3AE71D49B} - \KMSAutoNet -> No File <==== ATTENTION
Task: {1E336BDF-482E-4B54-B5CF-F26DC5DA3BED} - \Adobe Reader -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Теперь по второй машине

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Task: {3C4726CD-6939-4B46-A591-74503040E8F8} - \Adobe Reader -> No File <==== ATTENTION
Task: {66152B46-6E9A-4FCB-8026-BA238F365795} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это значит, что они зашифрованы другим ключом для другого ID. Вы не первый, кто с этим сталкивается.

Надо найти все до единого файлы README.hta, запаковать в один архив и прикрепить к следующему сообщению.

Если пострадало несколько компьютеров, значит искать и на них.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Galem333
      сестра скачала шифратор на ноутбук
      От Galem333
      Всем здравствуйте, Опишу в кратце что произошло. Прихожу домой я с тренировки и вижу на мамином ноутбуке такою картину (фото приклал) Моя сестра сказала что захотела поиграть в роблокс (детская игра) но не просто поиграть в игру а поиграть с читами некий друг по игре (которого она вообще в реальности не знает) скидывает ей файлик с этим так называемым читом ну она его открыла и компьютер перезагрузился а шифратор удалил все данные на мамином ноутбуке ну так вот дело в том что это не просто какой-то шифратор а самый настоящее зло которое сломала виндовс и не даëт что либо сделать с ОС прошу помогите!!!!!! (Логи я не могу предоставить т.к вирус превратил всю виндовс в блокнот) 


      Ноутбук сломан вариант с безопасным режимом сразу можно отмести
    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • Vlad21
      Вирус-шифровальщик @tutanota.com
      От Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • Alexg
      Сработал шифровальщик [conectme@tutanota.com][ID=501D1F42]name_of_file.HYDRA
      От Alexg
      Скорее всего через RDP пробрался шифровальщик на сервер, почти все зашифровало, система живая
       
       
      FRST.txt Addition.txt files.7z
×
×
  • Создать...