Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал шифровальщик 31.01.2019

artem zhukov
 Поделиться

Рекомендуемые сообщения

artem zhukov Новичок

artem zhukov

Опубликовано
Опубликовано

Здравствуйте 

поймал шифровальщик 31.01.2019

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.

Addition.txt

CollectionLog-2019.01.31-18.13.zip

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@artem zhukov, вы из германии?


Reimage Repair [2019/01/31 15:06:08]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe
SpyHunter 5 [2019/01/31 15:06:08]-->C:\ProgramData\EnigmaSoft Limited\sh5_installer.exe -r sh5 -lng EN

деинсталируйте.

c:\start.bat

вам знаком?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Windows MultiPoint Server\WmsShell.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\start.bat', '');
 QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузите вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

F2 - HKU\S-1-5-21-2674677864-3320722209-2979748230-1000\..\WinLogon: [Shell] = C:\Program Files\Windows MultiPoint Server\WmsShell.exe
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
×
×
  • Создать...