Перейти к содержанию

Поймали шифровальщик NetTool.Win32.TorJok.bxn

Sergey_Ts
 Share

Рекомендуемые сообщения

Sergey_Ts Новичок

Sergey_Ts

Опубликовано
Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал почти все документы на ПК :( Предварительно всё началось после того, как пользователь открыл письмо с вложением от неизвестного отправителя.

Сканирование KVRT  - 7 троянов, скрин прилагаю,  сервер касперского зафиксировал лечение в памяти трояна MEM:Trojan.Win32.SEPEH.gen. 

 

Сканирование сборщиком логов - результат во вложении. Есть возможность прислать Вам зашифрованые файлы.

 

Какие наши дальнейшие действия по устранению заразы и реально ли будет расшифровать файлы?

 

P.S. Сканирование логером делалось на другом ПК, к которому подключен жесткий диск и в опциях указано, что надо проверять диски D и E.  Если надо было запускать на зараженной машине - то сделаем без проблем, просто пока боимся ее запускать, как бы ещё больше не навредить. 

post-53849-0-40683300-1554986379_thumb.jpg

post-53849-0-14507300-1554986385_thumb.jpg

CollectionLog-2019.04.11-15.10.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Sergey_Ts Новичок

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.

 

Держите

CollectionLog-2019.04.11-16.45.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sergey_Ts Новичок

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделано

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вымогатель Shade, расшифровки нет. Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sergey_Ts Новичок

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Вымогатель Shade, расшифровки нет. Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sergey_Ts Новичок

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Сделали.

Подскажите такой момент: какой механизм распространения этого вируса? Вот у нас на зараженном компьютере был подключен сетевой диск, которым пользуются еще несколько человек. На этом диске зашифровалась половина документов. Компьютеры пользователей проверили - вирусов нет. Есть опасность того, что вирус пошел гулять по сети как червь, или он заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Спасибо

secur.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Sergey_Ts Новичок

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

 

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

 

Принято, спасибо :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      От Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      От Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
×
×
  • Создать...