Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Мы тоже поймали шифровщик .bomber лог прилагаю

sih
 Share Подписчики 0

Рекомендуемые сообщения

sih

sih 0

Опубликовано
Опубликовано

Добрый день. поймали шифровщик. зашифровал все файлы на машине.

симптомов никаких не было, почту пользователь проверить не успел, открыл 1 документ ворд после этого произошла активация вируса. (возможно запустился по расписанию)

 

лог прилагаю 

 

 

CollectionLog-2018.06.19-10.06.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
sih

sih 0

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

 

 

прилагаю файлы

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

У Вас очередная версия Scarab. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat - это файл, который запускается через Планировщик заданий Вам известен?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0335C55F-3E37-413B-9CF5-27DFF41B845A} - \KMSAuto -> No File <==== ATTENTION
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\chueva\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:02 - 2018-06-19 08:10 - 000002450 _____ C:\Users\chueva\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
sih

sih 0

Опубликовано
  • Автор
Опубликовано

да. C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat  нам известен.

это инвентаризация.

 

а вот с рашифровкой огорчили.

платить 300 уе вымогателям? 

есть шанс что со временем будет возможна расшифровка

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Об этом могут знать только в вирлабе. Помощников на форуме об этом не информируют.

 

Пострадала только эта машина?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Какого совета Вы ждете? Про невозможность расшифровки я написал.

 

Кстати, судя по одной из тем с этим шифратором, заражение произошло после открытия документа Word (или чего-то маскирующегося под документ Word) из почты. "Пытайте" сотрудницу, проводите ликбез по основам информационной безопасности.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 412

Опубликовано
Опубликовано

Дату и время появления папки C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip сообщите, пожалуйста.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1957994488-1767777339-839522115-7165\...\Run: [7-ZipPortable] => C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • MrMeow
      Шифровальщик bomber
      От MrMeow
      На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение: ============= "Южанникова Альбина" <frontera5@rambler.ru>:   Добрый день   Никак не могу с вами связаться( Направляю наши новые реквизиты =============
      с вложением "Реквизиты Обновление.src.gz"
      (к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)
       
      Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg
      DrWeb - Trojan.Encoder.26361
       
      Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.
       
      После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT
      В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic
       
      В архиве KVRT_reports.zip три лога проверки утилитой KVRT
      В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)
       
      Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту
      и лог от утилиты AutoLogger.
       
      Пароль от двух запороленных архивов "virus"
       

      Сообщение от модератора thyrex Вредоносное вложение удалено

      CollectionLog-2018.09.21-23.36.zip
      KVRT_reports.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      Рабочий стол-encrypted.zip
    • easeasd
      Шифрование данных .bomber
      От easeasd
      Добрый день. Компьютер подвергся заражению вирусом .bomber, вследствии чего практически все файлы стали иметь вид HgjhgJghghjgJVBNvjhvgdfrr.bomber (порядок символов и сами символы перед .bomber произвольны). Помогите пожалуйста расшифровать файлы и очистить компьютер
      CollectionLog-2018.06.26-12.31.zip
    • Alexandr56
      Шифровальщик Bomber
      От Alexandr56
      Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.
      KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.
      CollectionLog-2018.06.20-10.49.zip
    • Apip
      шифратор bomber
      От Apip
      Доброй ночи, форумчане! Комп из бухгалтерии, по словам юзера, утром обнаружил зашифрованные файлы..
      Согласно порядка заполнения запроса проверил с KVRT, запустил авто-логгер, CollectionLog во вложении.
      Куда бежать дальше?
      CollectionLog-2018.06.20-00.48.zip
    • bravo-ej
      Шифровальщик bomber
      От bravo-ej
      Доброго дня, товарищи! 
      Вижу не я один тут такой. Помогите пожалуйста! 
       
      ситуация стандартная - утром включились и увидели. 
       
      Что сделано:
      1) KART запущен и просканировано всё (включая системный раздел). 
      было найдено (пока остаётся в карантине):
      D:\Users\Таня\AppData\Roaming\qdpisih.dll
      D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll   2) запущен автоматический сборщик логов и отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап). Прикрепил.
      3) запущен FRST. Файлы от него прикрепил.
       
      CollectionLog-2018.06.19-15.46.zip
      FRST.txt
      Addition.txt
×
×
  • Создать...