Перейти к содержанию

Шифровальщик [surprise666@rape.lol].adobe


Рекомендуемые сообщения

Доброго времени суток. Прошу помощи в расшифровке. Что это за зараза мне не понятно, нигде информации не нашел.

Источником заражения стал пользовательский компьютер, на нем скушано всё. От документов, до экзешников...

Вторым компьютером стал сервер, не весь, а только сетевая папка обмена. В ней имеется важная информация.

На сервере стоит Касперский (лицензия имеется).

Прикрепляю логи с компьютеров:

1. Пользователя CollectionLog-2018.11.19-11.35.zip

2. Сервера CollectionLog-2018.11.18-22.46.zip

 

Также прикрепляю один зашифрованный файл в архиве:

 

Виктория.xlsx.id-EC0ACD8B.surprise666@rape.lol.rar

 

Последние установленные программы на пользовательском компьютере, возможно одна из них стала источником заражения:

OIbit Unlocker (издатель - OIbit)

Process Hacker 2.39 (r124) (издатель - wj32)

Seed4.Me VPN 1.0.41 (издатель - Seed4.me)

Clip2net, версия 2.3.3.316 (издатель - Clip2net)

VKPro 2.0 2.1.9 (издатель - VkPromouter)

 

Пользователь сообщил что установил только программу выделенную жирным.

 

Всю дальнейшую информацию готов предоставить по запросу. Заранее благодарен !

Изменено пользователем Portick
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

На сервере стоит Касперский (лицензия имеется).

Создайте запрос на расшифровку.

 

Тут поможем только очистить следы. Но работаем по принципу - один компьютер, одна тема.

Здесь продолжаем по первому комплекту, для второго создайте новую тему.

 

Перечисленные программы, если не нужны, деинсталлируйте.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1sql.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\admin\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...