Перейти к содержанию

Мы тоже поймали шифровщик .bomber лог прилагаю

sih
 Share

Рекомендуемые сообщения

sih Новичок

sih

Опубликовано
Опубликовано

Добрый день. поймали шифровщик. зашифровал все файлы на машине.

симптомов никаких не было, почту пользователь проверить не успел, открыл 1 документ ворд после этого произошла активация вируса. (возможно запустился по расписанию)

 

лог прилагаю 

 

 

CollectionLog-2018.06.19-10.06.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
sih Новичок

sih

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

 

 

прилагаю файлы

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У Вас очередная версия Scarab. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat - это файл, который запускается через Планировщик заданий Вам известен?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0335C55F-3E37-413B-9CF5-27DFF41B845A} - \KMSAuto -> No File <==== ATTENTION
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\chueva\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:02 - 2018-06-19 08:10 - 000002450 _____ C:\Users\chueva\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
sih Новичок

sih

Опубликовано
  • Автор
Опубликовано

да. C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat  нам известен.

это инвентаризация.

 

а вот с рашифровкой огорчили.

платить 300 уе вымогателям? 

есть шанс что со временем будет возможна расшифровка

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Об этом могут знать только в вирлабе. Помощников на форуме об этом не информируют.

 

Пострадала только эта машина?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Какого совета Вы ждете? Про невозможность расшифровки я написал.

 

Кстати, судя по одной из тем с этим шифратором, заражение произошло после открытия документа Word (или чего-то маскирующегося под документ Word) из почты. "Пытайте" сотрудницу, проводите ликбез по основам информационной безопасности.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Дату и время появления папки C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip сообщите, пожалуйста.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1957994488-1767777339-839522115-7165\...\Run: [7-ZipPortable] => C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
×
×
  • Создать...