Перейти к содержанию

Здравствуйте! Подцепил шифровальщик-вымогатель

Nartik
 Share

Рекомендуемые сообщения

Nartik Новичок

Nartik

Опубликовано
Опубликовано

Подцепил вирус-вымогатель зашифровал документы ворд и эксель с расширением .cupcupcup. Первым делом проверил комп через Dr.Web Curelt где он обнаружил 5 вирусов (2 трояна и 3 бэкдора) с последующим удалением, потом через прогу Farbar recovery scan tool создал логи, надеюсь что Вы мне поможете!

log.rar

HOW TO RECOVER ENCRYPTED FILES.TXT

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\osk.exe');
 QuarantineFile('c:\users\Администратор\appdata\roaming\osk.exe', '');
 DeleteFile('c:\users\Администратор\appdata\roaming\osk.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\osk.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\osk.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'kHdWZMxn', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'kHdWZMxn', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Nartik Новичок

Nartik

Опубликовано
  • Автор
Опубликовано

Выполнил скрипт AVZ, перезагрузил комп потом файл quarantine.zip скинул на электронную почту (номер KLAN-9483990324)

Повторил логи по правилам,  файлы AutoLogger.rar и report1.log и report2.log в одном архиве вместе.

AutoLogger.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

номер KLAN-9483990324

вы сообщили, а полученный ответ нет. Сообщите тоже, пожалуйста.

 

зашифровал документы ворд и эксель

Пару таких документов упакуйте в архив и прикрепите к следующему сообщению.

 

Соберите свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
Nartik Новичок

Nartik

Опубликовано
  • Автор
Опубликовано

Вот ответ-

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

отчет от FRST

Архив документов.rar

Отчет FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Rome0
      Шифровальщик-вымогатель .kwx8
      От Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Yuriyqwe
      Подцепил майнер убийцу
      От Yuriyqwe
      Подцепил майнер, при попытках обнаружения или фикса программами перезагружает пк и все изменения откатываются. Также не дает переустановить виндовс и форматировать диск. Все возвращается к определенной точке. 
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...