Перейти к содержанию

Поймал шифровалЬщик omerta

valasvk
 Share

Рекомендуемые сообщения

valasvk Новичок

valasvk

Опубликовано
Опубликовано

Сегодня пришел на работу. Начали звонить пользователи, что не видят данных. Зашел на сервер -увидел зашифрованные файлы и сообщение вымогателя.

Сообщение прикрепляю вместе с логами сервера.

Инструкция по расшифровки omerta.TXT

CollectionLog-2018.09.03-10.01.zip

Ссылка на комментарий
Поделиться на другие сайты
valasvk Новичок

valasvk

Опубликовано
  • Автор
Опубликовано

Похоже нашел первоисточник! Временная папка, которая содержит инструменты вируса и похоже сам вирус. Архив запоролен. Пароль 123.

 

Строгое предупреждение от модератора thyrex
Не нужно выкладывать вредоносы в открытый доступ

 

Ну извините! Думал, что тем, кто занимается вредоносами это может помочь в раскрутке!

 

Строгое предупреждение от модератора thyrex
И править сообщения с модераторским тэгом тоже не стоит
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\ProgramData\onedrive.exe','');

 TerminateProcessByName('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe');

 QuarantineFile('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe','');

 DeleteFile('c:\users\miheev\appdata\local\temp\6\rar$exb0.301\networkshare.exe','32');

 DeleteFile('C:\ProgramData\onedrive.exe','64');

ExecuteSysClean;

end.


 


 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
valasvk Новичок

valasvk

Опубликовано
  • Автор
Опубликовано (изменено)

Хорошо! Отправляю логи в тему...

CollectionLog-2018.09.04-08.56.zip

Изменено пользователем mike 1
Удален карантин из вложений
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Карантин кто-то просил выкладывать в теме?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А раз не просили, то тогда зачем Вы его прикрепили в 6 сообщении? 

 

 

 

Ну извините! Думал, что тем, кто занимается вредоносами это может помочь в раскрутке

Лицензия на наш антивирус у Вас имеется?

Ссылка на комментарий
Поделиться на другие сайты
valasvk Новичок

valasvk

Опубликовано
  • Автор
Опубликовано

1. Выложил, потому что не знаю еще всех тонкостей Вашего форума

Обратно удалить уже не дает, поэтому исправить уже ничего не возможно.

2. Имеется.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

1. Вредоносное ПО в открытый доступ не выкладывают. Это можно классифицировать как УК 273 РФ и ответственность будете нести Вы. 

 

2. Создайте запрос на расшифровку раз имеете лицензию https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

3. Карантин из Вашего сообщения я удалил. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...