Перейти к содержанию

Новый шифратор id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

shekh_d
 Поделиться

Рекомендуемые сообщения

shekh_d

shekh_d

Опубликовано
Опубликовано

Здравствуйте все.

Пришли сегодня на работу и увидели счастье на одном из удалённых серверов, пошифрилось всё этим гадом id-5C6FE6A3.[heriberto_lazcano@aol.com].adobe

 

KES 10.3.3.275 был установлен, но не понятно, был ли запущен в момент Х, Server 2008 R2

 

Если я правильно понял, то это новая разновидность зверя CrySiS

 

Лог автологгера прилагаю, могу прислать, при необходимости, примеры шифрованных файлов и их нешифрованные оригиналы.

 

Прошу помощи...

regist

regist

Опубликовано
Опубликовано

 

 


Лог автологгера прилагаю
наверно забыли нажать загрузить.
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.
shekh_d

shekh_d

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Автологер ведь предупреждал:

Логи сделаны в терминальной сессии, сделайте их из консоли.

То есть, непосредственно на компьютере.

 

Сервер удалённый, доступ есть только по RDP или по Ammyy Admin.

Через Ammyy подойдёт?

CollectionLog-2018.12.21-16.43.zip

Изменено пользователем shekh_d
shekh_d

shekh_d

Опубликовано
  • Автор
Опубликовано

Вариант с амми устроил? Или мне собираться и ехать к серваку за 400 км?

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Вариант с амми устроил?

Да.

Вынужден огорчить, расшифровки этого типа вымогателя нет.

Создайте запрос на расшифровку. Может со временем и появится.

 

Здесь для очистки следов:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\User11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User11\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
×
×
  • Создать...