Перейти к содержанию

Шифровальцик dat

nevus68
 Поделиться

Рекомендуемые сообщения

nevus68

nevus68

Опубликовано
Опубликовано

Добрый день. Обнаружен шифровальщик. Закодировал файлы, теперь они с расширением .dat. Помогите в расшифровке и чистке. Лог вложил.

CollectionLog-2018.06.15-15.39.zip

  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • nevus68

    17

  • thyrex

    13

  • mike 1

    9

  • akoK

    1

Топ авторов темы

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано (изменено)

По чьей рекомендации запускался Combofix?

видимо самостоятельно, но не помню чтобы запускал

Изменено пользователем nevus68
mike 1

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




DeQuarantine::

C:\Qoobox\Quarantine\c\windows\wininit.ini

 

DirLook::

c:\windows\system32\unknown

 

Quit::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

cfscript.gif

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 
DeQuarantine::
C:\Qoobox\Quarantine\c\windows\wininit.ini
 
DirLook::
c:\windows\system32\unknown
 
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
 
cfscript.gif
 
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

готово

ComboFix.txt

mike 1

mike 1

Опубликовано
Опубликовано
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано
Деинсталлируйте Служба автоматического обновления программ .

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\...\Run: [MailRuUpdater] => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ajflepegnononcfmoikdnephfleldnbh] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx

S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (Mail.Ru) <==== ATTENTION

R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION

Task: {FD582CE7-A772-4FEF-9051-3B73DDC9225A} - System32\Tasks\MailRuUpdater => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-05-11] (Mail.Ru) <==== ATTENTION

C:\Users\Bitum\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Деинсталлируйте Служба автоматического обновления программ .
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\...\Run: [MailRuUpdater] => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ajflepegnononcfmoikdnephfleldnbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (Mail.Ru) <==== ATTENTION
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION
Task: {FD582CE7-A772-4FEF-9051-3B73DDC9225A} - System32\Tasks\MailRuUpdater => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-05-11] (Mail.Ru) <==== ATTENTION
C:\Users\Bitum\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

готово, архив на рабочем столе не появился

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

C:\Users\Bitum\Desktop\useragent.txt.dat

C:\Users\Bitum\Desktop\30к за 24ч.png.dat
C:\Users\Bitum\Desktop\k7odX1XFcg8.jpg.dat
C:\Users\Bitum\Documents\DecryptFiles.txt

Упакуйте в архив и прикрепите к сообщению.

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

C:\Users\Bitum\Desktop\useragent.txt.dat

C:\Users\Bitum\Desktop\30к за 24ч.png.dat
C:\Users\Bitum\Desktop\k7odX1XFcg8.jpg.dat
C:\Users\Bitum\Documents\DecryptFiles.txt

Упакуйте в архив и прикрепите к сообщению.

 

Desktopfiles.rar

thyrex

thyrex

Опубликовано
Опубликовано

Есть образцы зашифрованных doc, docx, xls, xlsx, rar, zip файлов? Если есть таковые, прикрепите в архиве к следующему сообщению.

mike 1

mike 1

Опубликовано
Опубликовано

Что запускали перед тем, как файлы зашифровались?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alesss
      Появился новый шифровщик
      Автор alesss
      В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat
      Источник заражения ссылка   ссылка удалена
      появился txt документ в нем написано help50@yandex.ru
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки и файлы на форуме.
    • dzamalbelaev
      Вымогател расширение *.axx
      Автор dzamalbelaev
      Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .axx. Завершив шифрование вымогатель удаляет теневые копии файлов. 

        Вымогательская записка довольно длинная, текст путаный, несвязный, а некоторые слова, использованные в тексте записки, указывают на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель ориентирован на таргетированную атаку серверов организаций. 

      Часть текста из записки о выкупе:
      I encrypt some data that I believe are important to your system.
      Only your server to encrypt your data so you can bring me back again,
      * .axx Extension with its own place in your home directory or disk "reserves" named
      After you hide the folder, it will not be brought back to delete data by writing over the original.
      If your data again working my way wish to install on your server Eders new me
      Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
      I demand from you to your system cost $ 2,500. If we agree on,
      I will send the necessary information in order to transfer you the money gönfer.
      control the delivery of a currency that you sent me (at the latest half an hour) then your system 
      I made it to connect older.
      ...

      Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе
      Источник:http://id-ransomware.blogspot.com/2016/05/axcrypter-ransomware-axcrypt-2500.html
    • Radik56
      Зашифровали сервер
      Автор Radik56
      Добрый вечер.
      у меня тоже самое сервак зашифровали.
      прикрепил логи
      CollectionLog-2017.04.27-12.31.zip
      report1.log
      report2.log
    • Shiriisu
      поймал вирус-шифратор. фаилы с раширением crypt
      Автор Shiriisu
      Добрый день, случилась неудача, поймал вирус-шифратор.
      Поискал и в гугле, и на форуме, пропробовал Rannohdecryptor, но он ругается на разницу в размере фаилов.
      Чем можно ещё попробовать?
      Самое неприятное что не смог выяснить какая именно машина в сети поймала вирус, а в виду того что шифрование она ведет с конца по алфавитному порядку начала она с сетевого диска.
      Есть немного бэкапов, поэтому могу дать и оригинальный фаил, и шифрованный. (в приложении)
    • Meg@Zoid
      Шифровальщик. У всех файлов в конце названия появилась добавка id_3503374080_2irbar3mjvbap6gt.onion.to_
      Автор Meg@Zoid
      Зашифрованы файлы, у всех файлов появилось окончание id_3503374080_2irbar3mjvbap6gt.onion.to_ Шифровальщик остановился на одном месте и остальные файлы не шифрует. Можно как-то ещё спасти файлы?

      Вот примеры файлов и текстовый документ с рабочего стола.

      Вот текстовый документ.
      _DECRYPT_MY_FILES.txt
×
×
  • Создать...