Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Сегодня также попались на шифровальщика

Norcoman
 Поделиться

Рекомендуемые сообщения

Norcoman Новичок

Norcoman

Опубликовано
Опубликовано

Добрый день. сегодня также попались на шифровальщика. Что можно предпринять?

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60944

CollectionLog-2018.11.08-16.38.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

FRST+Addition.zip

авансовый отчет НОВЫЙ.xls.crab7765@gmx.de.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\AsdS.cmd', '');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\AsdS.cmd', '64');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 DeleteSchedulerTask('Microsoft\Windows\WDI\WDICache');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на вирусинфо  https://virusinfo.info/virusdetector/report.php?md5=28DCF4DFF15D8676E4D067434AFD7E18

 

Могу выполнить с интернетом скрипт в АВЗ.

у меня доступ по RDP. инет не отключить.

 

при выполнении скрипта выпадает ошибка

Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

Изменено пользователем Norcoman
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


при выполнении скрипта выпадает ошибка Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21
в скрипте ошибок нет, а следовательно вы делаете что-то не по инструкции.
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

именно тот что в составе автологера, версия AVZ - 4.46 

на всякий случай можно получить актуальную ссылку на автологера с авз?

 

инструкция предельно понятна. Только интернет не выдернуть. Доступ только по РДП

 

а нет запустился, сейчас продолжу по инструкции выше

Изменено пользователем Norcoman
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано

Ответ с лаборатории № KLAN-9077327449

 

 

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&st=0&p=904476

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2018.11.08-20.58.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .




 

Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил

KLAN-9077594274

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&p=904480

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

SQL1_2018-11-08_22-07-02_v4.1.7z

Изменено пользователем regist
карантин прикреплять к сообщению запрещено
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

карантин к сообщению прикреплять запрещено.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref HTTP://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
delref HTTP://107.181.187.132/WIN/CNEW.HTA
delref HTTP://EU1.MINERPOOL.PW/WIN/CNEW.HTA
delref HTTP://RES1.MYRMS.PW/WIN/NUPD.HTA
zoo %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
delall %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
bl E5BF8BABCD70385184D3CCF464718431 942080
zoo %SystemRoot%\SERVICES.EXE
delall %SystemRoot%\SERVICES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
bl 7BCB3CA5369C5C6065A49D4E20CE4095 2469
zoo %SystemRoot%\FONTS\CHECKER.BAT
delall %SystemRoot%\FONTS\CHECKER.BAT
bl E448B20C7227FFA8F558562D72998F3F 32837
zoo %SystemRoot%\FONTS\DEL.BAT
delall %SystemRoot%\FONTS\DEL.BAT
zoo %SystemRoot%\FONTS\ZQW.BAT
delall %SystemRoot%\FONTS\ZQW.BAT
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref HTTPS://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

сделайте свежий образ автозапуска.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

у вас там помимо шифрования был активный майнер. Что с этой проблемой сейчас?

По поводу шифрования при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано

Да майнера видел, пытался вылечиться с помощью CurentIt и Касперским Virus Removal Tool до обращения не помогло.  Сейчас KVRT угроз не обнаружил.

В hijack таких строчек не обнаружено.

HiJackThis.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


В hijack таких строчек не обнаружено.
тогда для надёжности продублирую скриптом uVS
;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
regt 35
restart

и на всякий случай свежий лог uVS сделайте.


+ обновления windows советую установить,

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • keinsdow
      Попался на Фейк-каптчу
      Автор keinsdow
      Хотел конвертировать PNG
      Перешёл на сайт hotpng.com
      Попал на фейк каптчу и инструкцию:
      удалено
      После этого выполнил восстановление через восстановления Windows
      Теперь не могу точно сказать, осталсяCollectionLog-2025.02.01-19.34.zip какой либо вирус или какие либо данные были украдены
    • Зядик Леонид
      Случайно попался майнер и не могу удалить tool.btcmine.2782
      Автор Зядик Леонид
      Во время игры ЦП сильно нагрузился, зайдя в диспечер задач было 100% и упало до манимальных. Скачивал антивирусы по типу Dr.Web после удаления он снова возвращался и нагружал ЦП, даже я нашел папку с ним и решил удалить саму папку, но ничего не изменилось, майнер востановился обратно. Помогите пожалуйста решить проблему
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
×
×
  • Создать...