Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальшик с расширением .AES

Игорь Давыдов

Автор Игорь Давыдов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Игорь Давыдов

Игорь Давыдов

Опубликовано
Опубликовано

Добрый вечер всем! Шифровальщик проник через RDP. Создал файлы на рабочем столе %2.7z, Chipher2.exe, deltmp.cmd. В папке TMP создал несколько файлов 7z

  • .dll и tmp
  • .exe.
  • Зашифровал все файлы документов, баз данных и т.д. После чего самоудалился! Файлы вируса восстановил через R-studio.

     

    Прикрепляю лог программы и архив с файлами от вируса.

CollectionLog-2018.12.03-16.43.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files\Gate\minergate.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

Добрый вечер! Все сделал! прикрепляю файлы сканера. Файлы вируса не о чем не говорят?

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

 

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагру

Добрый день!

1) Да, прописывали сами

2) Да, знакомо. Это утилита восстановления данных

3) FixLog прилагаю

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...