Перейти к содержанию

Поймал шифратор id-A4D82640.[veracrypt@foxmail.com].adobe

PavelSorokin
 Share

Рекомендуемые сообщения

PavelSorokin Новичок

PavelSorokin

Опубликовано
Опубликовано (изменено)

Добрый день!

20-01-2019 на серверах обнаружил шифратор (id-A4D82640.[veracrypt@foxmail.com].adobe) Вирус распространился по сети (предположительно через сетевое хранилище) повредил клиентские машины. Защифрованы БД sql.

Вирус поразил как машины без АВ Касперский, так и с ним (касперский endpoint security 10.2.2..)

Можно ли расшифровать файлы?

 

спасибо!

CollectionLog-2019.01.20-10.17.zip

Изменено пользователем PavelSorokin
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\temp\winstart_0000000902.exe','');
 DeleteFile('C:\temp\winstart_0000000902.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wstart','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - <no Path/update_url>
File: C:\Program Files\MonitorSoftware\monitor.exe
File: C:\Program Files\MonitorSoftware\wpRMI.exe
Folder: C:\Users\администратор.AURUM\Desktop\SearchMyFiles
Folder: C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
Folder: C:\Users\ProgramData
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsi6C2C.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsqC1BA.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsu39E8.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsg8E.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsv3EA7.tmp
File: C:\Users\администратор.AURUM\AppData\Local\d3d9caps.dat
CustomCLSID: HKU\S-1-5-21-2939584294-4008956381-2783420501-500_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\администратор.AURUM\AppData\Roaming\Garant-Client\@com\F1Shell.dll => No File
File: C:\Program Files\Omnicomm\AutocheckSE\start.bat
File: C:\Windows\TEMP\pdk-SYSTEM\222b2cd286d7221e4a55e436c190dd48.dll
File: C:\Windows\TEMP\pdk-SYSTEM\50950b5b470c0d52ac0033d613e39f91.dll
File: C:\Windows\TEMP\pdk-SYSTEM\97a2e6443b947d806decd51d47431523.dll
File: C:\Windows\TEMP\pdk-SYSTEM\928eff5d1bf763abff3068620c0b86b8.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ec88994dca352281e37972313e1051d3.dll
File: C:\Windows\TEMP\pdk-SYSTEM\447fb48712dd486a9cd82c51b98d23f0.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2ccfaf7bb3a4cf27fd33fe6d3bb6e380.dll
File: C:\Windows\TEMP\pdk-SYSTEM\41aee7954778794bd4714ea7448138b2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\28e3b3c92d9d2a4e693dcf4167d15435.dll
File: C:\Windows\TEMP\pdk-SYSTEM\dad8a2781d545b007729f2cb48fd26bf.dll
File: C:\Windows\TEMP\pdk-SYSTEM\bd861f3e03052af93272c100d252f5e2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\0b1a35256e897f33b9748ab0b6d0033d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\04aaed0c4ab04791dc4e497c377d373b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\fabb8899d82671db2035759037c5c21d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\353910329d0410f90709321989f5da58.dll
File: C:\Windows\TEMP\pdk-SYSTEM\93e87ef6c56dffc312be353e105d2794.dll
File: C:\Windows\TEMP\pdk-SYSTEM\e45711c2662171c15cd763238e7b579b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2f58a67846fe475e0676dbc406a75b68.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ecefdc6daba859e2c7e17fc15ad129ff.dll
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано


  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
CreateRestorePoint:
C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.


Касаемо расшифровки, пробуйте обратиться в тех. поддержку Лаборатории Касперского используя следующую инструкцию:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

К сожалению мне неизвестны удачные случаи расшифровки, касаемо помощи добровольцев на форумах по лечению. Что касается удачных случае посредствам обращения в тех. поддержки Лаборатории Касперского и других вендоров, то лучше уточнять у них, так как каждый случай уникальный,то иногда есть шанс расшифровки. Но опять же никто не может дать не какой гарантии.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Lexarr
      Поймал tool.BtcMine.2754
      От Lexarr
      Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

      CollectionLog-2024.12.16-17.06.zip
    • KrivosheevYS
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
×
×
  • Создать...