Перейти к содержанию

Шифровальщик

fgu662018
 Share

Рекомендуемые сообщения

fgu662018 Новичок

fgu662018

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Подхватили шифровальщик, оказались зашифрованы файлы на всех серверах, в том числе виртуальные машины, везде, куда был доступ у доменного администратора.

Но не на всех компьютерах, доступных по сети, видимо что то помешало шифровальщику.

 

Во всех папках лежит файл how_to_back_files.html, его тоже прикрепляю.

 

На компьютерах стоит KasperskyEndpointSecurity

ping all cameras.cmd.zip​ - пример зашифрованного файла (это был батник)

CollectionLog-2018.07.08-20.35.zip

how_to_back_files.zip

ping all cameras.cmd.zip

Изменено пользователем fgu662018
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Это GlobeImposter 2.0, с рассшировкой помочь не сможем. Только дочистить хвосты.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.MARK', '64');
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ClientTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ServerTask" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
fgu662018 Новичок

fgu662018

Опубликовано
  • Автор
Опубликовано

Большое спасибо за оперативность! 

Подскажите, у меня еще несколько зараженных серверов, и возможно компьютеры пользователей.

Есть смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы? (вижу в скрипте пути до конкретных файлов)

Раз восстановление не возможно, сейчас стоит задача прекратить заражение и убить вирус.

 

Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы?
специфичен для каждой системы. Если есть подозрение, что вирус попал на другие компы, а не просто пошифровал рассшаренные папки, то создайте для них отдельные темы.

 

 


Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?
У KVRT и у KES (если он актуален) одни и теже антивирусные базы, так что сканирование KES будет равносильно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
Startup: C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html [2018-07-07] ()
GroupPolicy: Restriction ? <==== ATTENTION
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Local\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\Default\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Downloads\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\AppData\Local\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\ProgramData\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ () C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ () C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ () C:\Users\umnik\AppData\Local\how_to_back_files.html
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...