Перейти к содержанию

Сегодня также попались на шифровальщика

Norcoman
 Поделиться

Рекомендуемые сообщения

Norcoman Новичок

Norcoman

Опубликовано
Опубликовано

Добрый день. сегодня также попались на шифровальщика. Что можно предпринять?

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60944

CollectionLog-2018.11.08-16.38.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

FRST+Addition.zip

авансовый отчет НОВЫЙ.xls.crab7765@gmx.de.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\AsdS.cmd', '');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\AsdS.cmd', '64');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 DeleteSchedulerTask('Microsoft\Windows\WDI\WDICache');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на вирусинфо  https://virusinfo.info/virusdetector/report.php?md5=28DCF4DFF15D8676E4D067434AFD7E18

 

Могу выполнить с интернетом скрипт в АВЗ.

у меня доступ по RDP. инет не отключить.

 

при выполнении скрипта выпадает ошибка

Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

Изменено пользователем Norcoman
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


при выполнении скрипта выпадает ошибка Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21
в скрипте ошибок нет, а следовательно вы делаете что-то не по инструкции.
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

именно тот что в составе автологера, версия AVZ - 4.46 

на всякий случай можно получить актуальную ссылку на автологера с авз?

 

инструкция предельно понятна. Только интернет не выдернуть. Доступ только по РДП

 

а нет запустился, сейчас продолжу по инструкции выше

Изменено пользователем Norcoman
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано

Ответ с лаборатории № KLAN-9077327449

 

 

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&st=0&p=904476

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2018.11.08-20.58.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .




 

Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил

KLAN-9077594274

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&p=904480

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

SQL1_2018-11-08_22-07-02_v4.1.7z

Изменено пользователем regist
карантин прикреплять к сообщению запрещено
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

карантин к сообщению прикреплять запрещено.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref HTTP://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
delref HTTP://107.181.187.132/WIN/CNEW.HTA
delref HTTP://EU1.MINERPOOL.PW/WIN/CNEW.HTA
delref HTTP://RES1.MYRMS.PW/WIN/NUPD.HTA
zoo %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
delall %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
bl E5BF8BABCD70385184D3CCF464718431 942080
zoo %SystemRoot%\SERVICES.EXE
delall %SystemRoot%\SERVICES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
bl 7BCB3CA5369C5C6065A49D4E20CE4095 2469
zoo %SystemRoot%\FONTS\CHECKER.BAT
delall %SystemRoot%\FONTS\CHECKER.BAT
bl E448B20C7227FFA8F558562D72998F3F 32837
zoo %SystemRoot%\FONTS\DEL.BAT
delall %SystemRoot%\FONTS\DEL.BAT
zoo %SystemRoot%\FONTS\ZQW.BAT
delall %SystemRoot%\FONTS\ZQW.BAT
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref HTTPS://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

сделайте свежий образ автозапуска.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

у вас там помимо шифрования был активный майнер. Что с этой проблемой сейчас?

По поводу шифрования при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Norcoman Новичок

Norcoman

Опубликовано
  • Автор
Опубликовано

Да майнера видел, пытался вылечиться с помощью CurentIt и Касперским Virus Removal Tool до обращения не помогло.  Сейчас KVRT угроз не обнаружил.

В hijack таких строчек не обнаружено.

HiJackThis.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


В hijack таких строчек не обнаружено.
тогда для надёжности продублирую скриптом uVS
;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
regt 35
restart

и на всякий случай свежий лог uVS сделайте.


+ обновления windows советую установить,

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...