Перейти к содержанию

Начальник поймал шифровальщик pilotpilot088@gmail.com

a_goodwin
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Увы, расшифровки не будет. Только зачистка следов мусора.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

a_goodwin

a_goodwin

Опубликовано
  • Автор
Опубликовано

Спасибо за ответ!

 

Скрипты выполнил.

Прикладываю логи.

Выложил на virusinfo.info файл quarantine, но не могу понять, где посмотреть результат.

 

Во вложении отчёт Autologger после выполнения скриптов AVZ и перезагрузок.

CollectionLog-2019.02.22-19.01.zip

thyrex

thyrex

Опубликовано
Опубликовано

Trojan-Ransom.Win32.Shade.prf

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\Users\Все пользователи\services
2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\ProgramData\services
2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\SysWOW64
2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README9.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README8.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README7.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README6.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README5.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README4.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README3.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README2.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README10.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README1.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README9.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README8.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README7.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README6.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README5.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README4.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README3.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README2.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README10.txt
2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\Windows
2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\Windows
2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ () C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили. Больше помочь нечем

  • Спасибо (+1) 1
a_goodwin

a_goodwin

Опубликовано
  • Автор
Опубликовано

Данные, в основном, были на флешках. Бэкап — наше всё!

Большое спасибо за вашу помощь! :gooda:

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      Автор freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Поймали шифровальщика
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...