Перейти к содержанию

Шифровальщик

fgu662018
 Поделиться

Рекомендуемые сообщения

fgu662018

fgu662018

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Подхватили шифровальщик, оказались зашифрованы файлы на всех серверах, в том числе виртуальные машины, везде, куда был доступ у доменного администратора.

Но не на всех компьютерах, доступных по сети, видимо что то помешало шифровальщику.

 

Во всех папках лежит файл how_to_back_files.html, его тоже прикрепляю.

 

На компьютерах стоит KasperskyEndpointSecurity

ping all cameras.cmd.zip​ - пример зашифрованного файла (это был батник)

CollectionLog-2018.07.08-20.35.zip

how_to_back_files.zip

ping all cameras.cmd.zip

Изменено пользователем fgu662018
regist

regist

Опубликовано
Опубликовано

Это GlobeImposter 2.0, с рассшировкой помочь не сможем. Только дочистить хвосты.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.MARK', '64');
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ClientTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ServerTask" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

fgu662018

fgu662018

Опубликовано
  • Автор
Опубликовано

Большое спасибо за оперативность! 

Подскажите, у меня еще несколько зараженных серверов, и возможно компьютеры пользователей.

Есть смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы? (вижу в скрипте пути до конкретных файлов)

Раз восстановление не возможно, сейчас стоит задача прекратить заражение и убить вирус.

 

Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?

 

Addition.txt

FRST.txt

regist

regist

Опубликовано
Опубликовано

 

 


смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы?
специфичен для каждой системы. Если есть подозрение, что вирус попал на другие компы, а не просто пошифровал рассшаренные папки, то создайте для них отдельные темы.

 

 


Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?
У KVRT и у KES (если он актуален) одни и теже антивирусные базы, так что сканирование KES будет равносильно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
Startup: C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html [2018-07-07] ()
GroupPolicy: Restriction ? <==== ATTENTION
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Local\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\Default\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Downloads\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\AppData\Local\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\ProgramData\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ () C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ () C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ () C:\Users\umnik\AppData\Local\how_to_back_files.html
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • elemag
      Нас тоже атаковал тот же самый вирус benjamin_jack2811 ransomware.
      Автор elemag
      Здравствуйте друзья,
       
      Нас тоже  атаковал тот же самый вирус benjamin_jack2811 ransomware. Искренне надеюсь, что есть какой-то способ расшифровать данные и восстановить их. Если это поможет, могу Вам отправить два одинаковых файла - один из них незараженный, а другой шифрованный ( зараженный ). Я не знаю может ли это помочь каким-то образом, но это моя последняя надежда в этой неприятной ситуации.
       
      Заранее спасибо!
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • Alexey_juma
      Помощь в расшифровке файлов.
      Автор Alexey_juma
      Добрый день. Утром злоумышленник зашифровал часть файлов на компьютере, в сети и на удаленных серверах. Формат зашифрованных файлов .mark. Зашифрованные файлы имеют формат Autoconfig.ini.mark. Прошу оказать помощь в расшифровке файлов.
      CollectionLog-2018.12.19-11.10.zip
    • IstoD
      Шифровальщик формата .ms
      Автор IstoD
      День добрый, подскажите как расшифровать файл формата .ms
       
      Пароль на архив - infected
      inf.7z
    • g.paluch
      Шифровальщик зашифровал все файлы с разрешением .MS.
      Автор g.paluch
      Ребята помогите! Шифровальщик зашифровал все файлы с разрешением .MS. Что делать?
    • Evgen_
      Шифровальщик crypto.support@aol.com
      Автор Evgen_
      Добрый день !
      Сервер был зашифрован. Компьютер и службы - все работает, но все файлы зашифрованы.
      В требовании прислать денег фигурирует адрес почты crypto.support@aol.com. Подозрения на GlobeImposter.
      Помогите, пожалуйста.

      В приложении логи, пару зашифрованных файлов, страница кому оплатить. Создать расшифровку с помощью virusinfo.info не смог, лог virusinfo_auto_имя_вашего_ПК.zip по видимому слишком большой 350 мб, возможная причина того, что в обратную форму он не грузится (начинает грузить и обрывается, страница не доступна, пробовал с разных ПК и разных браузеров). Могу "virusinfo_auto_SRV-SV.zip" загрузить любым другим образом, как скажите.
      1.zip
×
×
  • Создать...