Перейти к содержанию

Шифровальшик с расширением .AES

Игорь Давыдов

Автор Игорь Давыдов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Игорь Давыдов

Игорь Давыдов

Опубликовано
Опубликовано

Добрый вечер всем! Шифровальщик проник через RDP. Создал файлы на рабочем столе %2.7z, Chipher2.exe, deltmp.cmd. В папке TMP создал несколько файлов 7z

  • .dll и tmp
  • .exe.
  • Зашифровал все файлы документов, баз данных и т.д. После чего самоудалился! Файлы вируса восстановил через R-studio.

     

    Прикрепляю лог программы и архив с файлами от вируса.

CollectionLog-2018.12.03-16.43.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files\Gate\minergate.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

Добрый вечер! Все сделал! прикрепляю файлы сканера. Файлы вируса не о чем не говорят?

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

 

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагру

Добрый день!

1) Да, прописывали сами

2) Да, знакомо. Это утилита восстановления данных

3) FixLog прилагаю

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lavi
      Подхватили вирус, перекодировал .doc .xls и тд.
      Автор Lavi
      Подхватили вирус, перекодировал .doc .xls и тд.
      Некоторые файлы спрашивают кодировку, другие пишут что повреждены.
      май медосмотр.doc
      Копия форма 17 г.xls
    • Галя
      Вирус-шифровальщик?
      Автор Галя
      Не открываются файлы баз 1С, pdf, jpeg,xls, doc,accdb
      CollectionLog-2017.05.13-16.30.zip
    • Patrik1519
      как удалить с системной памяти Trojan-Ransom?
      Автор Patrik1519
      Где то подцепил вирус, ^Trojan-Ransom^. Который залез в оперативную память, теперь не как не могу удалить его( и лечение не помогает...
      Воспользовался программой Kaspersky Virus Removal Tool 2015, не помогло. 
      Не знаю что делать.
    • shest
      Шифровальщик .parazite
      Автор shest
      Здравствуйте, почти все файлы зашифровывались этой дрянью (<имя файла>.parazite), во всех папках есть текстовый файл с указаниями
       
      "Для того, чтобы узнать, как восстановить информацию, отправте письмо на адрес parazite@onionmail.info.
      В теме письма укажите номер 3603000. Чтобы убедится в возможности восстановления, можете прикрепить к письму пару файлов, чей общий размер не превышает 10 мегабайт."   Перепробовал все утилиты с сайта касперского - не помогли.   Помогите пожалуйста.   ПС. вложил шифрованный и оригинальный файл для примера Temp.zip
    • lesnoychelovek
      Шифровальщик
      Автор lesnoychelovek
      Здравствуйте, сегодня утром шифровальщик изменил расширения на UIWIX и с моим личным id для вымогателя. Пример прикрепил, лог тоже и требования хакеров. Вообще не пойму каким образом они это сделали ?
      Надеюсь на помощь, в гугле сегодня только пару таких же ситуаций нашел, походу какая то новая зараза.
      CollectionLog-2017.05.10-10.59.zip
      _DECODE_FILES.txt

×
×
  • Создать...