Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Мы тоже поймали шифровщик .bomber лог прилагаю

sih
 Поделиться

Рекомендуемые сообщения

sih

sih

Опубликовано
Опубликовано

Добрый день. поймали шифровщик. зашифровал все файлы на машине.

симптомов никаких не было, почту пользователь проверить не успел, открыл 1 документ ворд после этого произошла активация вируса. (возможно запустился по расписанию)

 

лог прилагаю 

 

 

CollectionLog-2018.06.19-10.06.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

sih

sih

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

 

 

прилагаю файлы

FRST.txt

Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано
ATTENTION: The user is not administrator

 

Переделать сбор логов, дав учетной записи права администратора

thyrex

thyrex

Опубликовано
Опубликовано

У Вас очередная версия Scarab. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat - это файл, который запускается через Планировщик заданий Вам известен?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0335C55F-3E37-413B-9CF5-27DFF41B845A} - \KMSAuto -> No File <==== ATTENTION
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\chueva\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:02 - 2018-06-19 08:10 - 000002450 _____ C:\Users\chueva\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
sih

sih

Опубликовано
  • Автор
Опубликовано

да. C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat  нам известен.

это инвентаризация.

 

а вот с рашифровкой огорчили.

платить 300 уе вымогателям? 

есть шанс что со временем будет возможна расшифровка

thyrex

thyrex

Опубликовано
Опубликовано

Об этом могут знать только в вирлабе. Помощников на форуме об этом не информируют.

 

Пострадала только эта машина?

sih

sih

Опубликовано
  • Автор
Опубликовано (изменено)

Fixlog.txt


да. пострадала только одна машина. надеемся.

Fixlog.txt

Изменено пользователем sih
thyrex

thyrex

Опубликовано
Опубликовано

Какого совета Вы ждете? Про невозможность расшифровки я написал.

 

Кстати, судя по одной из тем с этим шифратором, заражение произошло после открытия документа Word (или чего-то маскирующегося под документ Word) из почты. "Пытайте" сотрудницу, проводите ликбез по основам информационной безопасности.

thyrex

thyrex

Опубликовано
Опубликовано

Дату и время появления папки C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip сообщите, пожалуйста.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1957994488-1767777339-839522115-7165\...\Run: [7-ZipPortable] => C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

FusionInventory-Agent случайно не обновляли в последнее время?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MrMeow
      Шифровальщик bomber
      Автор MrMeow
      На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение: ============= "Южанникова Альбина" <frontera5@rambler.ru>:   Добрый день   Никак не могу с вами связаться( Направляю наши новые реквизиты =============
      с вложением "Реквизиты Обновление.src.gz"
      (к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)
       
      Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg
      DrWeb - Trojan.Encoder.26361
       
      Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.
       
      После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT
      В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic
       
      В архиве KVRT_reports.zip три лога проверки утилитой KVRT
      В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)
       
      Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту
      и лог от утилиты AutoLogger.
       
      Пароль от двух запороленных архивов "virus"
       

      Сообщение от модератора thyrex Вредоносное вложение удалено

      CollectionLog-2018.09.21-23.36.zip
      KVRT_reports.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      Рабочий стол-encrypted.zip
    • easeasd
      Шифрование данных .bomber
      Автор easeasd
      Добрый день. Компьютер подвергся заражению вирусом .bomber, вследствии чего практически все файлы стали иметь вид HgjhgJghghjgJVBNvjhvgdfrr.bomber (порядок символов и сами символы перед .bomber произвольны). Помогите пожалуйста расшифровать файлы и очистить компьютер
      CollectionLog-2018.06.26-12.31.zip
    • Alexandr56
      Шифровальщик Bomber
      Автор Alexandr56
      Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.
      KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.
      CollectionLog-2018.06.20-10.49.zip
    • Apip
      шифратор bomber
      Автор Apip
      Доброй ночи, форумчане! Комп из бухгалтерии, по словам юзера, утром обнаружил зашифрованные файлы..
      Согласно порядка заполнения запроса проверил с KVRT, запустил авто-логгер, CollectionLog во вложении.
      Куда бежать дальше?
      CollectionLog-2018.06.20-00.48.zip
    • bravo-ej
      Шифровальщик bomber
      Автор bravo-ej
      Доброго дня, товарищи! 
      Вижу не я один тут такой. Помогите пожалуйста! 
       
      ситуация стандартная - утром включились и увидели. 
       
      Что сделано:
      1) KART запущен и просканировано всё (включая системный раздел). 
      было найдено (пока остаётся в карантине):
      D:\Users\Таня\AppData\Roaming\qdpisih.dll
      D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll   2) запущен автоматический сборщик логов и отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап). Прикрепил.
      3) запущен FRST. Файлы от него прикрепил.
       
      CollectionLog-2018.06.19-15.46.zip
      FRST.txt
      Addition.txt
×
×
  • Создать...