Перейти к содержанию

Шифровальщик UPD

dim.allen
 Поделиться

Рекомендуемые сообщения

dim.allen

dim.allen

Опубликовано
Опубликовано (изменено)

Добрый день, подвергся вирусной атаке от шифровальщика вымогателя, расширение файлов стало UPS-3ac81e5c579d2566

Уважаемые гуру форума прошу подсказать что можно сделать с данной проблемой?

CollectionLog-2019.02.22-10.42.zip

Изменено пользователем dim.allen
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Смените пароли на RDP.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\IME\dwintl_x64.exe', '');
 QuarantineFile('C:\Windows\IME\svc.cmd', '');
 QuarantineFile('C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано (изменено)

Сменить пароли RPD сейчас нет возможности, файлы управляющей утилиты тоже зашифрованы.

 

Результат выполнения скрипта

Ошибка карантина файла, попытка прямого чтения (C:\Windows\IME\dwintl_x64.exe)
 Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\Windows\IME\dwintl_x64.exe)
Ошибка карантина файла, попытка прямого чтения (C:\Windows\IME\svc.cmd)
 Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\Windows\IME\svc.cmd)
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)
 Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
 

 

Здравствуйте!

Смените пароли на RDP.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 QuarantineFile('C:\Windows\IME\dwintl_x64.exe', '');
 QuarantineFile('C:\Windows\IME\svc.cmd', '');
 QuarantineFile('C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 


Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Изменено пользователем dim.allen
Sandor

Sandor

Опубликовано
Опубликовано

1. Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.

2. Карантин отправили? Ждем ответ вирлаба.

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано (изменено)

Понял " по цитированию" . Да отправил, жду ответ


[KLAN-9655581534]

 

1. Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.
2. Карантин отправили? Ждем ответ вирлаба.

Изменено пользователем dim.allen
Sandor

Sandor

Опубликовано
Опубликовано

Сам ответ ещё процитируйте, пожалуйста.

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано

Ответ Лаборатории  [KLAN-9655581534]

Сам ответ ещё процитируйте, пожалуйста.


Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
dwintl_x64.exe
svc.cmd

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано

Прикрепил файлы созданные в FarBar

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 


Шифровальщик don't worry ransomware если эта информация поможет!

 

Текст прилагаю для тех кто возможно будет в такой ситуации:

Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки Вам нужно выполнить несложные действия:
------------------------------------------------------------
1. Скачайте по ссылке тор-браузер, установите его:
2. Откройте тор-браузер, перейдите по адресу и зарегистрируйте себе e-mail:
3. Войдите в почтовый ящик:
4. Напишите письмо на e-mail:
 e-mail: ups@torbox3uiot6wchz.onion
 Укажите в письме Ваш код для разблокировки: 39327476
5. Ждите ответ.
------------------------------------------------------------
Учтите, что письма с обычных email - мы не получим, кроме тех, которые есть в этом списке:

FRST.txt

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\beeline1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\beeline2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\bulit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\cg1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\cg2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\IAlina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\megafon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\megafon2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\mts\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\nc1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\nc2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\nc3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\nc4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\nc5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\operator1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\operator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\revizor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\sklad1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\sklad2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\USR1СV82\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\Антонина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\Директор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
Startup: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Нет, вставлять никуда не нужно. Но и переделывать не нужно, скрипт выполнился.

Жду

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано

от меня ждете файла? или ответ от других?

Нет, вставлять никуда не нужно. Но и переделывать не нужно, скрипт выполнился.
Жду

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите

 

dim.allen

dim.allen

Опубликовано
  • Автор
Опубликовано

Я в прошлом сообщение прикрепил fixlog, дублирую файл, сервер перегрузился изменений нет

Конечно от вас. В этой теме других нет :)

 

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
    • chirkov@szte.ru
      Поймали шифровальщика
      Автор chirkov@szte.ru
      Добрый день.
       
      Поймали вирус-шифровальщик, зашифровал все файлы, кроме системных.
      Возможно отработал от имени какой-то доменной учетки.
      Файл с логами во вложении.
      CollectionLog-2020.03.24-16.17.zip
    • Andrew.4.4
      Помощь в расшифровке файлов
      Автор Andrew.4.4
      У организации, которой я помогаю время от времени на сервер проникли злоумышленники и зашифровали файлы. Необходимости в очистке системы нет, так как зараженная ОС была снесена. ID Ransomware определил, как семейство Globe, но брут ключа по паре файлов решениями от Emsisoft не принёс результата. Пару зашифрованный-оригинал прикрепляю. Записки от вымогателей также не осталось. Буду благодарен за любую помощь.
      andrew.4.4.zip
    • Edison77
      зашифрованные фото
      Автор Edison77
      суть проблемы в следующем,дочка занесла вирус на комп,а он был связон с облаком на котором хранились все фотки и видео.вообщем комп почистили и винду переустановили,но как восстановить фотки с облака?Программы дешифровальщики не помогли! Но повезло- есть зашифрованное фото и его начальное !!!! прилагаю 2 файла и жду каких либо советов,извините если не тут обращаюсь,просто хочется верить в наших програмистов!   Ошибка Вы не можете загружать файлы подобного типа    Ребята а закодированный файл не грузится?????как быть

×
×
  • Создать...