Перейти к содержанию

Зашифровались файлы (HEUR:Trojan-Downloader.Script.Generic)

Vladij
 Поделиться

Рекомендуемые сообщения

Vladij

Vladij

Опубликовано
Опубликовано

Случайно запустил JSE файл.
Каспер-онлайн находит HEUR:Trojan-Downloader.Script.Generic
Файл есть, из темпа файлы типа WIN-0N4PR6UIIHB*.log, а также, вроде, нашёл несколько пар - изначальный и перекодированный 

Текст (создны readme.txt) следующий:

Baшu фaйлы были зашифpованы.Чтoбы pаcшuфpoвать их, Вaм нeобxoдимo оmпpавиmь код:
994017C2EE69EA30555C|0
нa электрoнный адрес pilotpilot088@gmail.com .
Дaлее вы nолучиme всe необxодимые инcmpуkции.
Поnыткu рacшuфpoвать cамoсmoяmельнo не пpиведут ни k чeмy, kрoме безвозвраmной nоmeрu инфоpмaциu.
Если вы всё жe хоmитe поnытаmьcя, mo nредваpuтeльнo cделaйmе резeрвныe kопиu фaйлов, иначе в слyчае
иx изменeния pacшифpовкa cmанeт нeвoзмoжной нu nрu каkux ycловuяx.
Если вы нe nолyчuлu отвemа по вышеуkaзaннoму aдресу в mечение 48 чaсов (и moлькo в этом cлучае!),
вocпoльзyйmеcь фopмой обpaтнoй связи. Эmо можнo сделamь двумя споcобамu:
1) Сkачaйmе и ycтанoвиmе Tor Browser по ccылкe: https://www.torproject.org/download/...d-easy.html.en
В адpеcной стpокe Tor Browser-а ввeдите aдpеc:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrpузuтcя cтpaницa c формoй обраmнoй связu.
2) B любом бpаузеpе перейдите no однoму uз aдpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2019.03.06-12.33.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это Shade, расшифровки нет, к сожалению.

 

Для очистки его следов и мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Vladij

Vladij

Опубликовано
  • Автор
Опубликовано

Файлы  прилагаю.

 

Правильно понимаю, что обо всех перекодированных файлах можно забыть навсегда?

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
2019-03-06 09:44 - 2019-03-06 13:42 - 000000000 __SHD C:\ProgramData\Windows
FirewallRules: [{0A75A416-A388-4922-A8CB-946D39ACF334}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{AB136DC5-52B2-4ABD-9992-1A1783E3775D}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Раз уж вы решили перейти на KIS, дочистите следы Comodo по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Sandor

Sandor

Опубликовано
Опубликовано

Вы неверно скопировали скрипт (пропали двоеточия). Аккуратно повторите ещё раз.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Правильно понимаю, что обо всех перекодированных файлах можно забыть навсегда?

Скорее всего да. Если только злодеев поймают, либо они сами, раскаявшись, отдадут ключи.

 

На будущее проверьте что следует исправить:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем Sandor
Vladij

Vladij

Опубликовано
  • Автор
Опубликовано

Кстати, большую часть файлов удалось восстановить с помощью Undelete-программы... Около 70% зашифрованных вирусом...

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

удалось восстановить с помощью Undelete-программы

Вам повезло.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.253.17763.0 Внимание! Скачать обновления

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.11126.20188 Внимание! Скачать обновления

^Инструкция по обновлению Microsoft Office.^

Foxit Reader v.7.1.3.320 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45095 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^

Java SE Development Kit 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u201-windows-x64.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 58.0.3135.79 v.58.0.3135.79 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.5.1 (x86 ru) v.60.5.1 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      Автор bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Zafod
      HEUR:Trojan-Ransom.Win32.Generic
      Автор Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Печаль
      HEUR:Trojan-Ransom.Win32.Generic
      Автор Печаль
      Зашифрованы несколько локальных компов и серверов.
      В архиве два зашифрованных файлов, логи и ридми от вымогателей. 
       
      virus.rar
    • ООО КИП
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
      Автор ООО КИП
      Добрый день.
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
       
      Сегодня (29.04.2024) были зашифрованы данные на рабочих станциях и серверах компании.
      В 28.04.2024 23:19:47 на сервере ДС была создана Групповая политика с применением ко "Всем", "Прошедшим проверку" и "СИСТЕМА" 
      в настройке ГП:  
      1. отключаются службы теневого копирования и Брандмауэр Windows
      2. в планировщике создаются три назначенные задачи копирования, и исполнения файла
      2.1 ds.exe 
      powershell.exe Copy-Item "\\o*сетевая папка домена*e\netlogon\ds.exe" -Destination "C:\ProgramData" 2.2 запуск 
      cmd.exe /c c:\programdata\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.3 и запуск из сетевой папки 
      cmd.exe Аргументы /c \\o*сетевая папка домена*e\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.4 задачи немедленного исполнения по запуску скрипта PS и чистка логов 
      Немедленная задача (Windows 7 и выше) (имя: 1) powershell.exe Аргументы -ex bypass -f \\o*сетевая папка домена*e\netlogon\1.ps1 Немедленная задача (Windows 7 и выше) (имя: log) cmd.exe Аргументы /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"  
      после этого на зашифрованных машинах появился файл с содержимым ( весь файл приложу во вложениях)
       
       
      Утилиты Касперского определили как HEUR:Trojan-Ransom 
      ESET Определил как - Filecoder.BlackMatter.K 
       
      Просьба помочь в расшифровке файлов. может получится подобрать дешифратор
       
      Во вложении включил файлы зашифрованные и оригиналы файлов (уцелевшие) отдельным архивом
       
      Так же есть исполняемый файл  ds.exe (пока не прикладывал)
      decode.zip Addition.txt FRST.txt
    • ЕвгенийСемиряков
      [РЕШЕНО] Восстанавливающиеся вирусы "HEUR:Trojan-Spy.Script.Agent.gen", "MEM:Backdoor.Win32.Insistent.gen", "HEUR:Trojan. ... .gen"
      Автор ЕвгенийСемиряков
      Здравствуйте! Zip-файл с логами прикрепил (CollectionLog-2025.05.21-23.26.zip).

      21.05.2025 (после 21:00 по МСК) установил на ноутбук Kaspersky Premium. После проверки обнаружилось несколько вирусных файлов. Сначала это были "MEM:Backdoor.Win32.Insistent.gen". Затем после нескольких очисток и перезагрузок файлы каждый раз восстанавливались и в итоге увеличились в количестве:
      (ниже указал все, что показывает Касперский)
      "HEUR:Trojan-Spy.Script.Agent.gen" (в больших количествах);
      "MEM:Backdoor.Win32.Insistent.gen";
      "HEUR:Trojan.OLE2.Alien.gen";
      "HEUR:Trojan.Script.Agent.gen";
      "HEUR:Trojan-PSW.Win32.Stealer.gen";
      "HEUR:Trojan.Win32.Agentb.gen";
      "UDS:DangerousObject.Multi.Generic";
      "UDS:Trojan.Win32.Shelm";
      "UDS:Trojan-Downloader.Win32.Agent.gen";
      "HEUR:Trojan.Win32.Ekstak.gen";
      "HEUR:Trojan.Win64.Miner.gen";
      "HEUR:Trojan.VBS.Starter.gen".

      Также некоторые приложения указаны как "Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя" или "Рекламное приложение". Среди них, например, "Офис 2019 Ворд, Эксель, Поверпойнт", который я скачивал с проверенного сайта.

      Приложил отчёт по этим объектам (otchet_21.05.2025_23.22.txt). Логи обнаружений из журналов антивируса я, к сожалению, не нашёл.
      Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

      Пробовал решить проблему самостоятельно по этому гайду с вашего форума (прикреплю на всякий случай ниже). Выполнил в uVS скрипт из буфера обмена. Это не помогло


      CollectionLog-2025.05.21-23.26.zip otchet_21.05.2025_23.22.txt DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar
×
×
  • Создать...