Перейти к содержанию

Попали на Trojan-Ransom.Win32.Crypmod.aacs (шифровальщик)

sscoodd
 Поделиться

Рекомендуемые сообщения

sscoodd Новичок

sscoodd

Опубликовано
Опубликовано (изменено)

День добрый,

 

помогите одолеть шифровальщик.

 

После его работы осталось гора файлов с именами вида: email-tapok@tuta.io.ver-CL 1.5.1.0.id-2827572923-698255208362491355798773.fname-ibases.v8i.doubleoffset

После себя оставил кучу README с текстом write your country and server IP to tapok@tuta.io

 
Также удалось обнаружить сам исполняемый модуль зловреда, проверили его в закрытой виртуалке, убедились, что да, это оно.
 
Может его стоит переслать на изучение умным людям? Подскажите, куда направить?
И вообще - есть ли шансы?
 
 

На всякий случай, прилагаю лог сборщика со второго компа, где порезвилась эта дрянь.

CollectionLog-2018.08.27-13.06.zip

CollectionLog-2018.08.27-13.19.zip

Изменено пользователем sscoodd
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

2018-08-26 08:24 - 2018-08-06 05:08 - 000495616 _____ () C:\Users\armen\Downloads\tosenderbuild.exe

2018-08-26 08:04 - 2018-07-15 16:10 - 000134656 _____ C:\Users\armen\Desktop\my.exe
2018-08-26 08:03 - 2018-07-15 16:10 - 000134656 _____ C:\Users\armen\Downloads\my.exe

Загрузите в zip архиве данный файл через данную форму https://www.virusinfo.info/upload_virus.php?tid=37678

 

ESET File Security (HKLM\...\{A82EA635-7392-46A6-A800-9780B02630B9}) (Version: 6.4.12004.0 - ESET, spol. s r.o.)

 

В техподдержку Eset обращались? 

Ссылка на комментарий
Поделиться на другие сайты
sscoodd Новичок

sscoodd

Опубликовано
  • Автор
Опубликовано

Мы одновременно являемся клиентами Касперского, используем как персональные, так и корпоративные продукты.

 

Что касается эсета - обращались к ним в аналогичном случае год назад, но там вопрос не решился. Оттого и обращаюсь сюда.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Тогда имеет смысл создать сразу два запроса, первый - в техподдержку Eset, второй - в техподдержку Kaspersky Lab, инструкция по созданию запроса здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525 . К запросу прикрепите файл C:\Users\armen\Downloads\my.exe

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • gulyeza
      Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
×
×
  • Создать...