Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

Подверглись атаке шифровальщика через rdp или smb, (проброс порта на rdp сервер был отключен) - результат файлы с расширением scarab.

проверка KVRT и KIS чисто, 

прикреплены логи сборщика и архив с зашифрованным файлом и файл с требованием выкупа

 

CollectionLog-2018.05.29-10.59.zip

IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.zip

Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\debug\item.dat', '');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QCfTsgsSQIlx');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано
Re: newvirus [KLAN-8140242551]
newvirus@kaspersky.com
Кому: Andrey T
 
сегодня, 13:46
 
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
item.dat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Addition.txt

FRST.txt

Опубликовано

Расшифровки для этого типа вымогателя нет. Будет только очистка следов и мусора.

 

Политику IPSec настраивали самостоятельно?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2018-05-29 02:39 - 2018-05-29 03:02 - 000002698 _____ C:\Users\User\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:39 - 2018-05-29 02:39 - 000002698 _____ C:\Users\Администратор\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:39 - 2018-05-29 02:39 - 000002698 _____ C:\Users\Администратор\Downloads\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:39 - 2018-05-29 02:39 - 000002698 _____ C:\Users\Администратор\Desktop\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:39 - 2018-05-29 02:39 - 000002698 _____ C:\Users\User\Desktop\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:39 - 2018-05-29 02:39 - 000002698 _____ C:\Users\RDP_2\Downloads\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\RDP_2\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\RDP_2\Desktop\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\RDP_1\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\RDP_1\Downloads\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\RDP_1\Desktop\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\Public\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\Public\Downloads\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:38 - 2018-05-29 02:38 - 000002698 _____ C:\Users\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    2018-05-29 02:36 - 2018-05-29 02:36 - 000002698 _____ C:\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
    Task: {02FA2212-C89F-471F-986C-52076898BF8D} - \cvc -> No File <==== ATTENTION
    Task: {A5D7ED64-5CD2-4966-8DF2-7657F33C092B} - \Mysa -> No File <==== ATTENTION
    AlternateDataStreams: C:\Users\User:id [32]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления

VLC media player v.2.2.6 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 65 (64-bit) v.8.0.650.17 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 66 (64-bit) v.8.0.660.18 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 65 v.8.0.650.17 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Я.Браузер v.18.1.1.839 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Opera Stable 42.0.2393.137 v.42.0.2393.137 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.2.2143 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Менеджер браузеров v.3.0.6.829 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Антивирус обновите до актуальной версии и настройте защиту от шифрования.

 

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...