Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

шифратор bomber

Apip
 Share Подписчики 1

Рекомендуемые сообщения

Apip

Apip 0

Опубликовано
Опубликовано

Доброй ночи, форумчане! Комп из бухгалтерии, по словам юзера, утром обнаружил зашифрованные файлы..

Согласно порядка заполнения запроса проверил с KVRT, запустил авто-логгер, CollectionLog во вложении.

Куда бежать дальше?

CollectionLog-2018.06.20-00.48.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Здравствуйте!

 

Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • MrMeow
      Шифровальщик bomber
      От MrMeow
      На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение: ============= "Южанникова Альбина" <frontera5@rambler.ru>:   Добрый день   Никак не могу с вами связаться( Направляю наши новые реквизиты =============
      с вложением "Реквизиты Обновление.src.gz"
      (к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)
       
      Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg
      DrWeb - Trojan.Encoder.26361
       
      Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.
       
      После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT
      В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic
       
      В архиве KVRT_reports.zip три лога проверки утилитой KVRT
      В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)
       
      Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту
      и лог от утилиты AutoLogger.
       
      Пароль от двух запороленных архивов "virus"
       

      Сообщение от модератора thyrex Вредоносное вложение удалено

      CollectionLog-2018.09.21-23.36.zip
      KVRT_reports.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      Рабочий стол-encrypted.zip
    • easeasd
      Шифрование данных .bomber
      От easeasd
      Добрый день. Компьютер подвергся заражению вирусом .bomber, вследствии чего практически все файлы стали иметь вид HgjhgJghghjgJVBNvjhvgdfrr.bomber (порядок символов и сами символы перед .bomber произвольны). Помогите пожалуйста расшифровать файлы и очистить компьютер
      CollectionLog-2018.06.26-12.31.zip
    • Alexandr56
      Шифровальщик Bomber
      От Alexandr56
      Добрый день. Вчера попал под атаку. Компьютер весь день просто стоял включенным, ничего не запускали.
      KVRT проверил, логи прилагаю. Буду очень благодарен за помощь.
      CollectionLog-2018.06.20-10.49.zip
    • bravo-ej
      Шифровальщик bomber
      От bravo-ej
      Доброго дня, товарищи! 
      Вижу не я один тут такой. Помогите пожалуйста! 
       
      ситуация стандартная - утром включились и увидели. 
       
      Что сделано:
      1) KART запущен и просканировано всё (включая системный раздел). 
      было найдено (пока остаётся в карантине):
      D:\Users\Таня\AppData\Roaming\qdpisih.dll
      D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll   2) запущен автоматический сборщик логов и отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап). Прикрепил.
      3) запущен FRST. Файлы от него прикрепил.
       
      CollectionLog-2018.06.19-15.46.zip
      FRST.txt
      Addition.txt
    • Альберт Туманов
      Шифровальщик *.bomber
      От Альберт Туманов
      а что каждому по отдельности будете отвечать? или все же, какое-то общее решение будет? сегодня по всей России заразились.... причем оплачивать там надо через криптовалюту... 
×
×
  • Создать...