Перейти к содержанию

scarab шифровальщик

readyGo01
 Поделиться

Рекомендуемые сообщения

readyGo01

readyGo01

Опубликовано
Опубликовано

Был заражен компьютер, Вот отправляю логи, и ещё рабочий процесс wxmon.exe самого шифровальщика. Подскажите, удалить, останавливать процесс, или что щас делать? (важные файлы уже зашифрованы)

На *.zip фацлы пароль virus
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносы

FRST.txt

Addition.txt

  • Спасибо (+1) 1
readyGo01

readyGo01

Опубликовано
  • Автор
Опубликовано

Был заражен компьютер посредством rdp протокола, через запуск *.exe (скорее всего). 


C:\Users\User1\AppData\Roaming\Microsoft\wxmon.exe. Был запущен

CollectionLog-2018.06.04-10.11.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\buh1\appdata\roaming\microsoft\wxmon.exe');
 QuarantineFile('c:\users\buh1\appdata\roaming\microsoft\wxmon.exe','');
 TerminateProcessByName('c:\users\user1\appdata\roaming\microsoft\wxmon.exe');
 QuarantineFile('c:\users\user1\appdata\roaming\microsoft\wxmon.exe','');
 DeleteFile('c:\users\user1\appdata\roaming\microsoft\wxmon.exe','32');
 DeleteFile('c:\users\buh1\appdata\roaming\microsoft\wxmon.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3258249833-75032459-4162307588-1005\Software\Microsoft\Windows\CurrentVersion\Run','WXMon');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3258249833-75032459-4162307588-1008\Software\Microsoft\Windows\CurrentVersion\Run','WXMon');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3258249833-75032459-4162307588-1005\Software\Microsoft\Windows\CurrentVersion\Run','pcaMUzSPDIiaOX');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3258249833-75032459-4162307588-1008\Software\Microsoft\Windows\CurrentVersion\Run','pcaMUzSPDIiaOX');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

readyGo01

readyGo01

Опубликовано
  • Автор
Опубликовано

[KLAN-8167551317]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
wxmon.exe - HEUR:Trojan.Win32.Generic
wxmon_0.exe - HEUR:Trojan.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
From: 
Sent: 6/4/2018 8:40:00 AM
To: newvirus@kaspersky.com
Subject: Scarab шифровальщик (с форума https://forum.kasperskyclub.ru)

---------------------------------------------------------------

Сейчас выложу новые логи, прошу подождать.


Выкладываю новые логи, после запуска скрипта Avz

CollectionLog-2018.06.04-11.53.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано
C:\Users\Buh1\Desktop\Инструкция по расшифровке.TXT.scarab

C:\Users\Buh1\Инструкция по расшифровке.TXT

 

прикрепите в архиве к следующему сообщению

thyrex

thyrex

Опубликовано
Опубликовано

Увы, это оригинальный Scarab.

 

С расшифровкой помочь не сможем

readyGo01

readyGo01

Опубликовано
  • Автор
Опубликовано

А это никак влияет, что было запущено 2 процесса одновременно на разных пользователях, один раньше, другой позже по созданию файлов? Может ещё отправить вам от user1 инструкции?

thyrex

thyrex

Опубликовано
Опубликовано

Ничем не поможет.

 

Оба процесса должны уже быть неактивны.

readyGo01

readyGo01

Опубликовано
  • Автор
Опубликовано

А как проверить, что вирусов и троянов больше нет, чем ещё сканировать? Или лучше всё форматирование?


В ходе общения с хакерами, смогли расшифровать пару файлов + выложили картинку, которой является программой дешифратор.

Decrypter.zip

thyrex

thyrex

Опубликовано
Опубликовано

Дальше сами решайте: платить злоумышденникам или смириться с потерей информации.

 

Судя по времени шифрования, был вход по RDP. Пароль смените от RDP

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • velwws
      ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! scarry5@horsefucker.org
      Автор velwws
      Добрый день.
       
      Все файлы зашифрованы, Названия набор символов, расширение scarry.
       
      В папках текстовый файл "Как расшифровать файлы scarry.txt" такого содержания:
       
      Напишите на почту - scarry5@horsefucker.org ====================================================================================================   ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!    Ваш личный идентификатор   pAQAAAAAAACmYj=0HZSHD0MkDARXYbiWzR3nmQ74iE78Nwenn+ivt=GvgZpTNqtyVROmxwHMw8LbYxU2YyLPRddlHmx=OljjmXHt XERPZompK8q2W4X9ZyjYn2pdpHNba2hS9z9+GnAuhF3d39Nah+zsyGlvAsFXsDpFeeutobX1ee6oKtqliUL5AQBjbuvheDnnST17 v2rAe+s6w5JStt8qpvScmAkfBuz3V75rP1ELg9Rm33DF4sFHgddGBE60gyZekRX0nifKoIFXJgFGkpek40sGM1nn=cFOm1a8z3gi DK74imatFb=INbrj5uxv71bCxssvtAQGmhw9bADctS6O5RBf5D18McUB0vVYC23Gd8owlOjA3Dl+3v4SgXMfblsqi1Fsu7SFMSDA OsWdK3C4eyEIn5CUxT4gO51IMLCF30dVtdNl5moe9VNQhWTGEpETwMSElY5HPg+cIH2MUQCXtNDK+qCGc0DpD5vV9tTH6A=b8Vh7 NsR2chlIg=BzzuT2TDxATmqZDTUIN9I3BYLIBAcxt2Y96otI9yUQ7+lKgRXaCEt4ngfQeYxOBOXis1xBMzILBU=5DxHTkLc2iKTC 2vE+KFDc0Il4xvOAGSLVFg8nAGKTZe064F7KIFJP45sprx64LaNICbl47EqQJ43J7s89A0l8YVgONshS+FxvnE6nykoYkjz7xWJN =jgJnUkka=UL9EIf5x84Oss4teEyYzUCBzK7xPlbQ7D0BO8kC0w2LgLp+zq67kP8nw51pfy6s0=oj+LjMOG3kwIsHhCHYy12RaYY PeAkjUko4sRCmTP6NmDwWUJ+E26bnLGBDKzSesiQ6Mj6yAA   Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.  Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию. Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)   Для расшифровки данных:   Напишите на почту - scarry5@horsefucker.org    *В письме указать Ваш личный идентификатор  *Прикрепите 2 файла до 1 мб для тестовой расшифровки.    мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.   ВАЖНО! Не пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д.  Все кроме mail.ru    -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.  -Написав нам на почту вы получите дальнейшие инструкции по оплате.   В ответном письме Вы получите программу для расшифровки. После запуска программы-дешифровщика все Ваши файлы будут восстановлены.   Мы гарантируем: 100% успешное восстановление всех ваших файлов 100% гарантию соответствия 100% безопасный и надежный сервис   Внимание!  * Не пытайтесь удалить программу или запускать антивирусные средства  * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных  * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования ====================================================================================================   Ваш личный идентификатор   pAQAAAAAAACmYj=0HZSHD0MkDARXYbiWzR3nmQ74iE78Nwenn+ivt=GvgZpTNqtyVROmxwHMw8LbYxU2YyLPRddlHmx=OljjmXHt XERPZompK8q2W4X9ZyjYn2pdpHNba2hS9z9+GnAuhF3d39Nah+zsyGlvAsFXsDpFeeutobX1ee6oKtqliUL5AQBjbuvheDnnST17 v2rAe+s6w5JStt8qpvScmAkfBuz3V75rP1ELg9Rm33DF4sFHgddGBE60gyZekRX0nifKoIFXJgFGkpek40sGM1nn=cFOm1a8z3gi DK74imatFb=INbrj5uxv71bCxssvtAQGmhw9bADctS6O5RBf5D18McUB0vVYC23Gd8owlOjA3Dl+3v4SgXMfblsqi1Fsu7SFMSDA OsWdK3C4eyEIn5CUxT4gO51IMLCF30dVtdNl5moe9VNQhWTGEpETwMSElY5HPg+cIH2MUQCXtNDK+qCGc0DpD5vV9tTH6A=b8Vh7 NsR2chlIg=BzzuT2TDxATmqZDTUIN9I3BYLIBAcxt2Y96otI9yUQ7+lKgRXaCEt4ngfQeYxOBOXis1xBMzILBU=5DxHTkLc2iKTC 2vE+KFDc0Il4xvOAGSLVFg8nAGKTZe064F7KIFJP45sprx64LaNICbl47EqQJ43J7s89A0l8YVgONshS+FxvnE6nykoYkjz7xWJN =jgJnUkka=UL9EIf5x84Oss4teEyYzUCBzK7xPlbQ7D0BO8kC0w2LgLp+zq67kP8nw51pfy6s0=oj+LjMOG3kwIsHhCHYy12RaYY PeAkjUko4sRCmTP6NmDwWUJ+E26bnLGBDKzSesiQ6Mj6yAA     Есть-ли вероятность, что удасться расшифровать?  
    • Алексан
      расшифровка
      Автор Алексан
      Как быстро уйти от мошенников, которые зашифровали файлы на компьютере
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
×
×
  • Создать...