Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик .[cho.dambler@yandex.com]

Yerbol
 Поделиться

Рекомендуемые сообщения

Yerbol

Yerbol

Опубликовано
Опубликовано

Доброго всем дня!

Некий вредитель закинул нам шифровальщик.

К сожалению, взлом был произведён рано утром и не смогли вовремя среагировать.

В данное время остановили вирусную активность, но осталась проблема шифровки файлов.

Все папки где были зашифрованы файлы, имеют один HTML файл названия "HOW_TO_BACK_FILES"

Прошу помочь, подсказать, показать.


файл не прекрепился

CollectionLog-2018.06.05-15.18.zip

thyrex

thyrex

Опубликовано
Опубликовано

Это GlobeImposter 2 и с расшифровкой помочь не сможем.

 

C:\Windows\info.html прикрепите в архиве к следующему сообщению.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Yerbol

Yerbol

Опубликовано
  • Автор
Опубликовано

Высылаю Отчеты, полученные в пунктах 4 и 5.

 

Подскажите пожалуйста методы не допущения такой атаки в следующий раз.   


Может ли произойти утечка конфиденциальной информации (личные данные пользователей) в последствии атаки данного вируса.

Desktop.rar

info.rar

thyrex

thyrex

Опубликовано
Опубликовано

Судя по времени появления файлов с сообщением от вымогателей был вход по RDP. Пароли от него поменяйте.

 

Вообще логи нужны из обычного, а не безопасного, режима. После выполнения скрипта ниже, соберите новый лог FRST.txt

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-18\...\Run: [systems] => C:\Windows\info.html [3572 2018-05-30] ()
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Downloads\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Documents\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Desktop\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Local\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:05 - 000003572 _____ C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Public\Downloads\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Public\Documents\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Public\Desktop\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\Downloads\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\Documents\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\Desktop\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\AppData\Local\HOW_TO_BACK_FILES.html
2018-05-30 05:04 - 2018-05-30 05:04 - 000003572 _____ C:\Users\Adm\AppData\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\Все пользователи\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\Downloads\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\Documents\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\Desktop\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\AppData\Local\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\user\AppData\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\Public\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\Default\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\Adm\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Users\a.ramazanova\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\ProgramData\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Program Files\HOW_TO_BACK_FILES.html
2018-05-30 05:03 - 2018-05-30 05:03 - 000003572 _____ C:\Program Files (x86)\HOW_TO_BACK_FILES.html
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

Файлы

C:\Windows\system32\AES.Key
C:\Windows\system32\AES.IV

 

прикрепите в архиве к следующему сообщению

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-31 17:41 - 2018-05-31 17:41 - 000000162 ____H C:\Users\Администратор\Documents\~$W_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Downloads\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Documents\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\Desktop\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\Local\HOW_TO_BACK_FILES.html
2018-05-31 09:06 - 2018-05-31 09:06 - 000003572 _____ C:\Users\Администратор\AppData\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\Downloads\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\Documents\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\Desktop\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\AppData\Roaming\Microsoft\Windows\Start Menu\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\AppData\Local\HOW_TO_BACK_FILES.html
2018-05-30 05:05 - 2018-05-30 05:05 - 000003572 _____ C:\Users\a.ramazanova\AppData\HOW_TO_BACK_FILES.html
Reboot:

2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zneft2006
      Шифровальщик coded все зашифровал!
      Автор zneft2006
      Шифровальщик coded все зашифровал
      CollectionLog-2017.12.07-12.00.zip
    • automir14
      на компьютере были зашифрованы все файлы с расширением *.crypt
      Автор automir14
      плиз нужна помощь на компе зашифрованы файлы почты, офисные документы с расширением ПИСЬМО.jpg.crypt
    • Artem Petrov
      Возможно ли расшифровать (.deryptme)
      Автор Artem Petrov
      День добрый. У нас в компании произошел инцидент. Провели проверку при помощи Dr.Web CureIt! по результатам проведения которой был обнаружен Trojan.Encoder.16665. 
      Возможно ли расшифровать наши данные?
       
      Прикладываю: 
      Логи автоматического сборщика логов;
      Пример зашифрованного файла; Отчет Dr.Web CureIt!; Требования злоумышленников.
       
      CollectionLog-2017.12.04-14.20.zip
      Desktop.7z
      123.7z
    • SHooRoP
      Файлы зашифрованы .deryptme
      Автор SHooRoP
      Здравствуйте.
      Файлы на компьютере бухгалтера зашифрованы .deryptme.
       
      Первые зашифрованные файлы датированы 27.11.2017 16:40 - 16:41 и судя по логам компа далее его выключили. Бухгалтер ничего не заподозрил, касперский промолчал (по словам бухгалтера) (на машинке стоит ksos17.0.0.611ru-ru_full). Далее ничего не подозревая включили комп 29.11.2017 в 11:19, касперский (по словам бухгалтера) снова молчит, когда поняли что не открывается ничего прошло порядка 30-40 минут и позвали сисадмина. Благо сеть была выдернута усердной шваброй уборщицы и эти полчаса сетевые диски были недоступны. Пришел, увидел, касперский был отключен!!! Пролечил установленным антивирусом, проверил дополнительно Kaspersky Virus Removal Tool 2015. Сделал логи по инструкции, прикрепляю. Откуда был схвачен шифровальщик не знаю, на все вопросы получаю один ответ - ничего не трогали ничего не нажимали.
       
      И еще вопрос, есть шанс расшифровать базы 1с с помощью техподдержки Касперского или можно рвать волосы по периметру?
       
      Заранее благодарю за ответ и возможную помощь.
      CollectionLog-2017.11.29-16.49.zip
    • GodILike
      Зашифровались файлы и получили расширение crypt
      Автор GodILike
      Здравствуйте, все файлы зашифровались и приобрели расширение crypt хотелось бы расшифровать их. Прикрепил один из зашифрованных файлов и его оригинал. Что делать в данном случае?

      Ещё в каждой папке появился файл с названием how_to_back_files , но он к сожалению не хочет прикрепляться там ссылка с требованиями вымогателей.
      CollectionLog-2017.11.30-17.48.zip
      Зашифрованный файл.rar
      Файл оригинал.rar
×
×
  • Создать...