Перейти к содержанию

Шифратор szem@tutanota.com

Maxim Shadrin
 Share

Рекомендуемые сообщения

Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
Опубликовано

Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 

Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE

Помогите пожалуйста! 

 

readme exe .zip

Desktop.zip

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Прикрепляю логи Kaspersky Virus Removal Tool и файл вируса
Боюсь запускать Autologger т.к. после перезагрузки ПК может не запустится
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносы

post-49906-0-71582800-1527154643_thumb.jpg

report_20180524_162435.klr.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Updater');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','');
 QuarantineFile('C:\Windows\Media\Long\certsvc.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\Media\Long\certsvc.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','64');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.hta','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.hta','64');
 DeleteFile('C:\Windows\wincare.exe','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1621\Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSystemCare');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1103\Software\Microsoft\Windows\CurrentVersion\Run','MediaSVC');
 DeleteFile('C:\Intel\updater.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
  • Обратите внимание: перезагрузкe компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ KLAN-8123905764Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
mms.exe
lsm.exe
mms_0.exe
mms_1.exe

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=59390&p=880638

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

Прикрепили новые логи 


У зараженного ПК был доступ к сетевой папке, в этой папке все документы зашифрованы 

CollectionLog-2018.05.25-18.59.zip

post-49906-0-13989800-1527246462_thumb.jpg

Изменено пользователем Maxim Shadrin
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Прикрепляем логи с зараженного ПК

 


Прикрепили логи с ПК где находится зашифрованная общая папка

FRST64 Logs.zip

Логи ПК где находится зашифрованная общая папка.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Local\Temp\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\ProgramData\README.hta
2018-05-24 13:00 - 2018-05-24 13:00 - 000009027 _____ C:\Users\Video\Desktop\README.hta
C:\Windows\Inf\axperflib
C:\Windows\Inf\NETLIBRARIESTIP
Task: {D625F6CA-3A86-428E-B8D1-65CB512E3972} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {65D7BC90-FE64-4248-9489-AB86C3CA2C3A} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {10597CF2-0D11-4F8F-8020-2CA3AE71D49B} - \KMSAutoNet -> No File <==== ATTENTION
Task: {1E336BDF-482E-4B54-B5CF-F26DC5DA3BED} - \Adobe Reader -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Теперь по второй машине

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Task: {3C4726CD-6939-4B46-A591-74503040E8F8} - \Adobe Reader -> No File <==== ATTENTION
Task: {66152B46-6E9A-4FCB-8026-BA238F365795} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это значит, что они зашифрованы другим ключом для другого ID. Вы не первый, кто с этим сталкивается.

Надо найти все до единого файлы README.hta, запаковать в один архив и прикрепить к следующему сообщению.

Если пострадало несколько компьютеров, значит искать и на них.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Galem333
      сестра скачала шифратор на ноутбук
      От Galem333
      Всем здравствуйте, Опишу в кратце что произошло. Прихожу домой я с тренировки и вижу на мамином ноутбуке такою картину (фото приклал) Моя сестра сказала что захотела поиграть в роблокс (детская игра) но не просто поиграть в игру а поиграть с читами некий друг по игре (которого она вообще в реальности не знает) скидывает ей файлик с этим так называемым читом ну она его открыла и компьютер перезагрузился а шифратор удалил все данные на мамином ноутбуке ну так вот дело в том что это не просто какой-то шифратор а самый настоящее зло которое сломала виндовс и не даëт что либо сделать с ОС прошу помогите!!!!!! (Логи я не могу предоставить т.к вирус превратил всю виндовс в блокнот) 


      Ноутбук сломан вариант с безопасным режимом сразу можно отмести
    • Alexg
      Сработал шифровальщик [conectme@tutanota.com][ID=501D1F42]name_of_file.HYDRA
      От Alexg
      Скорее всего через RDP пробрался шифровальщик на сервер, почти все зашифровало, система живая
       
       
      FRST.txt Addition.txt files.7z
    • Theri
      Шифровальщик [Blockcrack@tutanota.com].HELPME
      От Theri
      Здравствтуйте! Все файлы на нескольких дисках оказались зашифрованы, можно ли их расшифровать?
      decrypt_info.zip
    • GreenStamp
      Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]
      От GreenStamp
      Добрый день!
      Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.
      Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]
      Возможно ли восстановить систему и файлы? Что нужно и какие условия?

×
×
  • Создать...