Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте! Пока создаются логи, немного опишу ситуацию.

Троян судя по всему exploit.win32.agent, был найден при помощи Kasperski Virus Remote Tool

У компа несколько пользователей, поэтому добиться внятного обьяснения не могу. Скорее всего был подхвачен на просторах.

Изменено пользователем Sapozhnik
Опубликовано

@Sapozhnik,

1) Для чего настройки AVZ крутили?

2) Почему рекомендациям Автологера не следовали? Соберите логи как положено, следуя его инструкциям.

Опубликовано

Прошу прощения за самодеятельность...

Новые логи


Для тех кто ищет защиту! Не сочтите за рекламу!

У меня установлен OneDrive, так вот, он первым заметил проблему и начал бить тревогу. После чего, по моей команде, восстановил все файлы, хранящиеся там. Так что, если хотите сохранить свои файлы и не платить вымогателям, пользуйте OneDrive. К моему сожалению, не все важные файлы хранились там (

CollectionLog-2018.12.11-00.19.zip

Опубликовано

Здравствуйте!

 

Вынужден огорчить. Помочь с расшифровкой не сможем.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

он первым заметил проблему

Правильная настройка тоже поможет.

 

Для проверки и очистки возможных хвостов дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Подскажите, если я заплачу вымогателям, какова вероятность, что файлы будут расшифрованы / что меня просто кинут, и ничего не пришлют?

Опубликовано

Как вы сами понимаете - никакой гарантии нет.

Опубликовано

Мы не советуем вообще с ними связываться. Оплата для них - стимул к дальнейшей деятельности.

 

Советуем мы следующее:

1. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

2. Обратитесь в полицию.

Опубликовано

В касперский запрос создан. Полиция заберет компьютер, и неизвестно, вернет ли когда-нибудь.

Опубликовано

Вот и ответ от Касперского:

 

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Crusis.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной.
Также обращаем ваше внимание, что, по нашим данным, злоумышленники могут использовать подбор паролей RDP чтобы получить доступ к машине жертвы и вручную запустить на ней шифровальщик, поэтому во избежание повторного заражения, пожалуйста, смените пароль для удалённого доступа.

Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...