Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день.

 

Зашифровались даные и были преобразованы в файлы с расширением .rsu.

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST

CollectionLog-2018.08.20-10.07.zip

FRST.zip

Изменено пользователем s4.ikt
Опубликовано

Фантастика! Умудрились зашифроваться двумя разными версиями шифровальщика Cryakl. Никаких шансов на расшифровку. Будет только зачистка мусора.

 

Пароль от RDP меняйте. Зашли, похоже, под пользователем zabbix.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
File: C:\Users\zabbix\Downloads\my.exe
File: C:\Users\zabbix\AppData\Local\Temp\ORTWADFHKM.exe
File: C:\Users\zabbix\AppData\Local\Temp\UVWWXYYZAA.exe
HKLM-x32\...\Run: [3053508] => 3053508
HKLM-x32\...\Run: [1335171] => 1335171
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\Common Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files (x86)\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\LocalLow\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Все пользователи\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Task: {F01C98AF-7AC5-4FAF-BD32-04AAE78924C4} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Опубликовано

Пользователя уже отключил насовсем. Тоже заметил от него подозрительную активность. Есть еще несколько зашифрованных машин, их логи для составления такого же текстовика-чистильщика могу скинуть?

Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации.

 

Если другие пострадавшие машины были в одной сети с данной, то наверняка они пострадали по сети. Если нет, то по ним создайте отдельные темы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вован Свидерский
      Автор Вован Свидерский
      Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH
       из-за чего произошло, незнаю. 
    • Alex8866
      Автор Alex8866
      Помогите, пожалуйста, расшифровать файлы. зашифрованы многие файлы ворда, экселя, картинки и фото.
      В названии файлов вначале - email-moshiax@aol.com.ver-CL 1.0.0.0.id
      Расширение у них .cbf
      CollectionLog-2015.10.13-18.24.zip
    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
×
×
  • Создать...