Перейти к содержанию

Вирус шифровальщик расширение .puma

olmer84
 Share

Рекомендуемые сообщения

olmer84 Новичок

olmer84

Опубликовано
Опубликовано

Добрый день.

 

Поймал вирус шифровальщик все фото и документы на компьютере с расширением .puma

 

Приложил лог-файл. Также приложил зашифрованный файл для примера и записку с требованиями.

Подцепил скорее всего путем скачивания пиратского софта из интернета...

 

Готов предоставить дополнительную информацию по необходимости.

Заранее спасибо.

 

 

CollectionLog-2018.11.22-20.30.zip

!readme.txt

post-51857-0-94105600-1542909175_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\HZED\230128506.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','qsoweczy41c','x64');
 DeleteFile('C:\Program Files (x86)\HZED\230128506.exe','64');
 DeleteFile('C:\Users\johnr\AppData\Local\Temp\mmtm.exe','32');
 DeleteFile('C:\ProgramData\kjxfe\vfje.exe','32');
 DeleteSchedulerTask('Test Task17.job');
 DeleteSchedulerTask('nmrcxxodasgljaijouu.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
olmer84 Новичок

olmer84

Опубликовано
  • Автор
Опубликовано (изменено)

Файл сохранён как 181122_184451_quarantine_5bf6f923d9c66.zip Размер файла 420394 MD5 0684554caf19dea99daa578ba97a02e3

CollectionLog-2018.11.22-21.48.zip

Изменено пользователем olmer84
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это Stop Ransomware. Расшифровки нет. Только зачистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://hi.ru/search/?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\Users\Все пользователи\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\ProgramData\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-21 07:53 - 000000000 ____D C:\WINDOWS\SysWOW64\kusajqzi
2018-11-21 07:49 - 2018-11-22 21:41 - 000000000 ____D C:\Program Files (x86)\HZED
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\Users\Все пользователи\kjxfe
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\ProgramData\kjxfe
2018-11-21 07:48 - 2018-11-21 07:48 - 000000000 ____D C:\Users\johnr\AppData\Roaming\Microleaves
2018-11-22 00:45 - 2018-11-22 00:45 - 000000049 _____ () C:\Users\johnr\AppData\Local\script.ps1
Task: {104B5827-A97D-4E21-99E9-61A14069D4FC} - \System\SystemCheck -> No File <==== ATTENTION
Task: {4808D2A9-63D5-4520-96DD-CE62527DAA49} - \OneDrive Standalone Update Task v2 -> No File <==== ATTENTION
Task: {84F00E61-173D-4053-B137-D4E9E16CF9C9} - \OneDrive Standalone Update Task-S-1-5-21-1578095108-2166787242-3072233778-1001 -> No File <==== ATTENTION
Task: {DAF08CCB-0166-4330-88F2-C095F9B071BB} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
AlternateDataStreams: C:\Users\johnr\AppData\Local\Temp:$DATA​ [16]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
olmer84 Новичок

olmer84

Опубликовано
  • Автор
Опубликовано

Спасибо

Зачистку делать не буду т.к. будет установка ос на новый хард.

Осталось только 2 вопроса

1) Есть ли резон сохранить зашифрованные файлы на будущее, над расшифровкой мб кто работает?

2) Есть ли резон связываться с теми кто вирус подкинул? оплата и тд... ?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@olmer84, + просьба сделайте экспорт этого ключа реестра

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

заархивируйте его и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Если лицензия на антивирус есть, попробуйте таки создать запрос, прикрепив к нему сообщение вымогателей + пару - шифрованный и незашифрованный - одного и того же файла

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      От Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
×
×
  • Создать...