Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал шифратор id-A4D82640.[veracrypt@foxmail.com].adobe

PavelSorokin
 Поделиться

Рекомендуемые сообщения

PavelSorokin Новичок

PavelSorokin

Опубликовано
Опубликовано (изменено)

Добрый день!

20-01-2019 на серверах обнаружил шифратор (id-A4D82640.[veracrypt@foxmail.com].adobe) Вирус распространился по сети (предположительно через сетевое хранилище) повредил клиентские машины. Защифрованы БД sql.

Вирус поразил как машины без АВ Касперский, так и с ним (касперский endpoint security 10.2.2..)

Можно ли расшифровать файлы?

 

спасибо!

CollectionLog-2019.01.20-10.17.zip

Изменено пользователем PavelSorokin
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\temp\winstart_0000000902.exe','');
 DeleteFile('C:\temp\winstart_0000000902.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wstart','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - <no Path/update_url>
File: C:\Program Files\MonitorSoftware\monitor.exe
File: C:\Program Files\MonitorSoftware\wpRMI.exe
Folder: C:\Users\администратор.AURUM\Desktop\SearchMyFiles
Folder: C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
Folder: C:\Users\ProgramData
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsi6C2C.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsqC1BA.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsu39E8.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsg8E.tmp
File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsv3EA7.tmp
File: C:\Users\администратор.AURUM\AppData\Local\d3d9caps.dat
CustomCLSID: HKU\S-1-5-21-2939584294-4008956381-2783420501-500_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\администратор.AURUM\AppData\Roaming\Garant-Client\@com\F1Shell.dll => No File
File: C:\Program Files\Omnicomm\AutocheckSE\start.bat
File: C:\Windows\TEMP\pdk-SYSTEM\222b2cd286d7221e4a55e436c190dd48.dll
File: C:\Windows\TEMP\pdk-SYSTEM\50950b5b470c0d52ac0033d613e39f91.dll
File: C:\Windows\TEMP\pdk-SYSTEM\97a2e6443b947d806decd51d47431523.dll
File: C:\Windows\TEMP\pdk-SYSTEM\928eff5d1bf763abff3068620c0b86b8.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ec88994dca352281e37972313e1051d3.dll
File: C:\Windows\TEMP\pdk-SYSTEM\447fb48712dd486a9cd82c51b98d23f0.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2ccfaf7bb3a4cf27fd33fe6d3bb6e380.dll
File: C:\Windows\TEMP\pdk-SYSTEM\41aee7954778794bd4714ea7448138b2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\28e3b3c92d9d2a4e693dcf4167d15435.dll
File: C:\Windows\TEMP\pdk-SYSTEM\dad8a2781d545b007729f2cb48fd26bf.dll
File: C:\Windows\TEMP\pdk-SYSTEM\bd861f3e03052af93272c100d252f5e2.dll
File: C:\Windows\TEMP\pdk-SYSTEM\0b1a35256e897f33b9748ab0b6d0033d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\04aaed0c4ab04791dc4e497c377d373b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\fabb8899d82671db2035759037c5c21d.dll
File: C:\Windows\TEMP\pdk-SYSTEM\353910329d0410f90709321989f5da58.dll
File: C:\Windows\TEMP\pdk-SYSTEM\93e87ef6c56dffc312be353e105d2794.dll
File: C:\Windows\TEMP\pdk-SYSTEM\e45711c2662171c15cd763238e7b579b.dll
File: C:\Windows\TEMP\pdk-SYSTEM\2f58a67846fe475e0676dbc406a75b68.dll
File: C:\Windows\TEMP\pdk-SYSTEM\ecefdc6daba859e2c7e17fc15ad129ff.dll
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано


  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
CreateRestorePoint:
C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.


Касаемо расшифровки, пробуйте обратиться в тех. поддержку Лаборатории Касперского используя следующую инструкцию:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

К сожалению мне неизвестны удачные случаи расшифровки, касаемо помощи добровольцев на форумах по лечению. Что касается удачных случае посредствам обращения в тех. поддержки Лаборатории Касперского и других вендоров, то лучше уточнять у них, так как каждый случай уникальный,то иногда есть шанс расшифровки. Но опять же никто не может дать не какой гарантии.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Snedikk
      Поймал майнер tool.btcmine.2812
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...