Перейти к содержанию

Поймал шифратор id-A4D82640.[veracrypt@foxmail.com].adobe

PavelSorokin
 Поделиться

Рекомендуемые сообщения

PavelSorokin

PavelSorokin

Опубликовано
Опубликовано (изменено)

Добрый день!

20-01-2019 на серверах обнаружил шифратор (id-A4D82640.[veracrypt@foxmail.com].adobe) Вирус распространился по сети (предположительно через сетевое хранилище) повредил клиентские машины. Защифрованы БД sql.

Вирус поразил как машины без АВ Касперский, так и с ним (касперский endpoint security 10.2.2..)

Можно ли расшифровать файлы?

 

спасибо!

CollectionLog-2019.01.20-10.17.zip

Изменено пользователем PavelSorokin
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\temp\winstart_0000000902.exe','');
 DeleteFile('C:\temp\winstart_0000000902.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wstart','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - <no Path/update_url>
File: C:\Program Files\MonitorSoftware\monitor.exe
File: C:\Program Files\MonitorSoftware\wpRMI.exe
Folder: C:\Users\администратор.AURUM\Desktop\SearchMyFiles
Folder: C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
Folder: C:\Users\ProgramData
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsi6C2C.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsqC1BA.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsu39E8.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsg8E.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsv3EA7.tmp
File: C:\Users\администратор.AURUM\AppData\Local\d3d9caps.dat
CustomCLSID: HKU\S-1-5-21-2939584294-4008956381-2783420501-500_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\администратор.AURUM\AppData\Roaming\Garant-Client\@com\F1Shell.dll => No File
File: C:\Program Files\Omnicomm\AutocheckSE\start.bat
File: C:\Windows\TEMP\pdk-SYSTEM\222b2cd286d7221e4a55e436c190dd48.dll
File: C:\Windows\TEMP\pdk-SYSTEM\50950b5b470c0d52ac0033d613e39f91.dll
File: C:\Windows\TEMP\pdk-SYSTEM\97a2e6443b947d806decd51d47431523.dll
File: C:\Windows\TEMP\pdk-SYSTEM\928eff5d1bf763abff3068620c0b86b8.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ec88994dca352281e37972313e1051d3.dll
File: C:\Windows\TEMP\pdk-SYSTEM\447fb48712dd486a9cd82c51b98d23f0.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2ccfaf7bb3a4cf27fd33fe6d3bb6e380.dll
File: C:\Windows\TEMP\pdk-SYSTEM\41aee7954778794bd4714ea7448138b2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\28e3b3c92d9d2a4e693dcf4167d15435.dll
File: C:\Windows\TEMP\pdk-SYSTEM\dad8a2781d545b007729f2cb48fd26bf.dll
File: C:\Windows\TEMP\pdk-SYSTEM\bd861f3e03052af93272c100d252f5e2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\0b1a35256e897f33b9748ab0b6d0033d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\04aaed0c4ab04791dc4e497c377d373b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\fabb8899d82671db2035759037c5c21d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\353910329d0410f90709321989f5da58.dll
File: C:\Windows\TEMP\pdk-SYSTEM\93e87ef6c56dffc312be353e105d2794.dll
File: C:\Windows\TEMP\pdk-SYSTEM\e45711c2662171c15cd763238e7b579b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2f58a67846fe475e0676dbc406a75b68.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ecefdc6daba859e2c7e17fc15ad129ff.dll
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
SQ

SQ

Опубликовано
Опубликовано


  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
CreateRestorePoint:
C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.


Касаемо расшифровки, пробуйте обратиться в тех. поддержку Лаборатории Касперского используя следующую инструкцию:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

PavelSorokin

PavelSorokin

Опубликовано
  • Автор
Опубликовано

файлик прикрепил.

 

Вобще известны удачные расшифровки данной разновидности шифратора?

 

Заранее спасибо!

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

К сожалению мне неизвестны удачные случаи расшифровки, касаемо помощи добровольцев на форумах по лечению. Что касается удачных случае посредствам обращения в тех. поддержки Лаборатории Касперского и других вендоров, то лучше уточнять у них, так как каждый случай уникальный,то иногда есть шанс расшифровки. Но опять же никто не может дать не какой гарантии.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
    • alexander.zas
      Расшифровка Trojan-Ransom.Win32.Crusis
      Автор alexander.zas
      Добрый день.
      Помогите расшифровать Trojan-Ransom.Win32.Crusis, файлы с именем [OriginalName]id-0A7E562E.[3048664056@qq.com].wallet 
    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
×
×
  • Создать...