Перейти к содержанию

Шифровальшик с расширением .AES

Игорь Давыдов

Автор Игорь Давыдов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Игорь Давыдов

Игорь Давыдов

Опубликовано
Опубликовано

Добрый вечер всем! Шифровальщик проник через RDP. Создал файлы на рабочем столе %2.7z, Chipher2.exe, deltmp.cmd. В папке TMP создал несколько файлов 7z

  • .dll и tmp
  • .exe.
  • Зашифровал все файлы документов, баз данных и т.д. После чего самоудалился! Файлы вируса восстановил через R-studio.

     

    Прикрепляю лог программы и архив с файлами от вируса.

CollectionLog-2018.12.03-16.43.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files\Gate\minergate.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

Добрый вечер! Все сделал! прикрепляю файлы сканера. Файлы вируса не о чем не говорят?

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Игорь Давыдов

Игорь Давыдов

Опубликовано
  • Автор
Опубликовано

 

Файлы вируса не о чем не говорят?

Файлы отправил на иследование в Вир. лаб.

 

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\0rv92odm.default -> http", "37.204.226.75"
Знакома ли Вам следующее:

Task: {84496B23-2366-43DC-BF85-62E9A656F0CC} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: {86F69499-5C57-43A1-995C-39C3E740D0E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-23] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
File: C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe
2018-12-02 09:35 - 2018-12-02 09:35 - 000461824 _____ (Igor Pavlov) C:\Users\natasha.TERMINAL\AppData\Local\Temp\tmp6622.exe
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагру

Добрый день!

1) Да, прописывали сами

2) Да, знакомо. Это утилита восстановления данных

3) FixLog прилагаю

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lesnoychelovek
      Шифровальщик
      Автор lesnoychelovek
      Здравствуйте, сегодня утром шифровальщик изменил расширения на UIWIX и с моим личным id для вымогателя. Пример прикрепил, лог тоже и требования хакеров. Вообще не пойму каким образом они это сделали ?
      Надеюсь на помощь, в гугле сегодня только пару таких же ситуаций нашел, походу какая то новая зараза.
      CollectionLog-2017.05.10-10.59.zip
      _DECODE_FILES.txt

    • Akils
      Вирус шифровальщик
      Автор Akils
      Добрый День. Обнаружил что фото зашифрованы, но не заметил и удалил оригинал. Попробовал утилиты не помогли. Произошло после открытия файла.
      CollectionLog-2017.05.05-17.45.zip
    • YaIgorZ
      Шифровальщик (без смены расширений)
      Автор YaIgorZ
      Здравствуйте,
      вирус зашифровал файлы (doc, txt, jpg, zip, psd...), изменилась только дата создания файлов
      намеков и записок вымогатели не оставили.
      Немогу даже определить что за шифровщик, вероятно заразился от стороннего ПО
      Прикладываю логи и шифрованный вариант с оригиналом
      CollectionLog-2017.05.06-21.43.zip
      CRYPT.ZIP
    • Sench
      Не открываютса все видео и фото файлы
      Автор Sench
      У меня тоже самая ситуация. не откриваютса все видео и фото файли. разрешение не изменилось. Что то натворили дети. по их словам бил вирус Cryptolocker. дети переустановили виндоус и тепер не как не магу найти что конкретно шифровал данние. На ПК не бил антивируса (((. пожалуйста помагите,  более 10 лет фото архива нашей семьи. прекрепляю несколко шифрованних файлов. 
      photo.zip
    • diman_cs
      Шифровальщик hellomyfriend@meta.ua
      Автор diman_cs
      Добрый день, 

       

      Появился еще один шифровальщик, по нему информации пока не нашел. К расширению зашифрованных файлов вирус добавил "_hellomyfriend@meta.ua" и в каждой директории создал текстовый документ INSTRUCTX.txt с содержанием "Для расшифровки пишите на mail: hellomyfriend@meta.ua PIN: [XX]".

      CollectionLog-2017.05.02-15.44.zip
×
×
  • Создать...