Перейти к содержанию

Шифровальщик {Benjamin_Jack2811@aol.com}AOL


Александр Губанов

Рекомендуемые сообщения

На каком-то компьютере в офисной сети словили шифровальщика, теперь часть файлов в расшаренных папках на серверах оказалась зашифрованной. Прошу помощи у сообщества.

 

Прикладываю файл протоколов с моей машины.

Прикладываю пример зашифрованного и оригинального файла, а также how_to_back_files.html.


Добавляю логи программы Farbar Recovery Scan Tool. Насколько я понял, мой компьютер чист, заражен какой-то другой компьютер по сети. Подскажите, как найти зараженный компьютер?

CollectionLog-2018.12.19-11.34.zip

how_to_back_files.html

Пример зашифрованного файла.7z

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


Насколько я понял, мой компьютер чист,
судя по логам заражён :(

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search
O3-32 - HKLM\..\Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - C:\Windows\system32\mscoree.dll
O22 - Task (.job): (Not scheduled) At10.job - C:\Windows\system32\rundll32.exe btivly.q,utlva
O22 - Task (.job): (Not scheduled) At11.job - C:\Windows\system32\rundll32.exe btivly.q,sntxq
O22 - Task (.job): (Not scheduled) At12.job - C:\Windows\system32\rundll32.exe btivly.q,gkzdwz
O22 - Task (.job): (Not scheduled) At13.job - C:\Windows\system32\rundll32.exe btivly.q,fzzqhwj
O22 - Task (.job): (Not scheduled) At14.job - C:\Windows\system32\rundll32.exe btivly.q,cxteitbi
O22 - Task (.job): (Not scheduled) At15.job - C:\Windows\system32\rundll32.exe btivly.q,mrwakrnn
O22 - Task (.job): (Not scheduled) At3.job - C:\Windows\system32\rundll32.exe btivly.q,wmgxmqo
O22 - Task (.job): (Not scheduled) At4.job - C:\Windows\system32\rundll32.exe btivly.q,smttjen
O22 - Task (.job): (Not scheduled) At5.job - C:\Windows\system32\rundll32.exe btivly.q,uqqogz
O22 - Task (.job): (Not scheduled) At6.job - C:\Windows\system32\rundll32.exe btivly.q,vidorb
O22 - Task (.job): (Not scheduled) At7.job - C:\Windows\system32\rundll32.exe btivly.q,ahhan
O22 - Task (.job): (Not scheduled) At8.job - C:\Windows\system32\rundll32.exe btivly.q,yjtaxg
O22 - Task (.job): (Not scheduled) At9.job - C:\Windows\system32\rundll32.exe btivly.q,wnyaxgw
O22 - Task (.job): (Running) At1.job - C:\Windows\system32\rundll32.exe btivly.q,cwglryu
O22 - Task (.job): (Running) At2.job - C:\Windows\system32\rundll32.exe btivly.q,yncvqzun
O22 - Task: At1 - C:\Windows\system32\rundll32.exe btivly.q,cwglryu
O22 - Task: At10 - C:\Windows\system32\rundll32.exe btivly.q,utlva
O22 - Task: At11 - C:\Windows\system32\rundll32.exe btivly.q,sntxq
O22 - Task: At12 - C:\Windows\system32\rundll32.exe btivly.q,gkzdwz
O22 - Task: At13 - C:\Windows\system32\rundll32.exe btivly.q,fzzqhwj
O22 - Task: At14 - C:\Windows\system32\rundll32.exe btivly.q,cxteitbi
O22 - Task: At15 - C:\Windows\system32\rundll32.exe btivly.q,mrwakrnn
O22 - Task: At2 - C:\Windows\system32\rundll32.exe btivly.q,yncvqzun
O22 - Task: At3 - C:\Windows\system32\rundll32.exe btivly.q,wmgxmqo
O22 - Task: At4 - C:\Windows\system32\rundll32.exe btivly.q,smttjen
O22 - Task: At5 - C:\Windows\system32\rundll32.exe btivly.q,uqqogz
O22 - Task: At6 - C:\Windows\system32\rundll32.exe btivly.q,vidorb
O22 - Task: At7 - C:\Windows\system32\rundll32.exe btivly.q,ahhan
O22 - Task: At8 - C:\Windows\system32\rundll32.exe btivly.q,yjtaxg
O22 - Task: At9 - C:\Windows\system32\rundll32.exe btivly.q,wnyaxgw

 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

c:\programdata\jetproject\jetgui.exe
c:\program files\enigma\picardzm service x64\picardz_service.exe

эти программы вам знакомы?

 


Насчёт рассшифровки, увы, обрадовать нечем. Это GlobeImposter 2.0, так что шансов нет.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за оперативный ответ!

 

1. Пофиксил

 

2. Пополнил, файл получился 197 Мб

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

 

 

3. Просканировал, лог прикладываю

Скачайте AdwCleaner и сохраните его на Рабочем столе.

 

 

4. Да, эти программы я знаю, они нужны и они нормальные. Первая кейлоггер (использую для бэкапа набора текста, только локально, все ок), вторая банковское ПО.

 

 

c:\programdata\jetproject\jetgui.exe
c
:\program files\enigma\picardzm service x64\picardz_service.exe

эти программы вам знакомы?

 


Насчёт рассшифровки, увы, обрадовать нечем. Это GlobeImposter 2.0, так что шансов нет.

 

 

 

Имеет ли смысл платить деньги авторам вируса?


Вымогатели требуют 

1 ID = 0.80 Bitcoin (BTC)
To decrypt you need to pay 0.80 BTC

AdwCleanerS00.txt

Изменено пользователем Александр Губанов
Ссылка на комментарий
Поделиться на другие сайты

 

 


Подскажите, как найти зараженный компьютер?
много компов в сети? Просто остальные тоже могут быть заражены, желательно бы проверить и остальные.

 

 


Имеет ли смысл платить деньги авторам вируса?
это решать вам. Разумеется гарантий, что они вас не кинут никаких. И заплатив им вы их спонсируете на дальнейшее распрастранение шифратора.

Вместо этого советуем написать заявление в полицию.

C:\Users\Губанов\AppData\Local\Nichrome
C:\Users\Губанов\AppData\Local\Xpom
C:\ProgramData\FileCure
C:\Users\Губанов\AppData\Local\Mail.Ru

эти папки удалите вручную.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Всем спасибо за помощь!

 

Рекомендации выполнил, надеюсь, мой компьютер стал более защищен.

 

Вроде все полечили, но установил 12 версию Dr Web, запустил полное сканирование компьютера - нашел еще 18 вирусов в архивах. Что же мы лечили до этого :)

post-52285-0-10404700-1545823751_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

 

 


Что же мы лечили до этого :)
активное заражение.

 

 


апустил полное сканирование компьютера - нашел еще 18 вирусов в архивах.
так толку от того, что лежит у вас там в архивах в папке Downloads - пока вы его не запустите никакой угрозы он не представляет и в логах не светится. А для того, чтобы защитить вас от запуска левых файлов как раз и нужен антивирус, а также самому быть внимательным. Смотреть откуда качаете и что.
Ссылка на комментарий
Поделиться на другие сайты

  • 6 months later...

@mishatimtim, здравствуйте!

 

Не пишите в чужой теме, это нарушение правил текущего раздела.

Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
×
×
  • Создать...