Перейти к содержанию

Поймали шифровальщик NetTool.Win32.TorJok.bxn

Sergey_Ts
 Поделиться

Рекомендуемые сообщения

Sergey_Ts

Sergey_Ts

Опубликовано
Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал почти все документы на ПК :( Предварительно всё началось после того, как пользователь открыл письмо с вложением от неизвестного отправителя.

Сканирование KVRT  - 7 троянов, скрин прилагаю,  сервер касперского зафиксировал лечение в памяти трояна MEM:Trojan.Win32.SEPEH.gen. 

 

Сканирование сборщиком логов - результат во вложении. Есть возможность прислать Вам зашифрованые файлы.

 

Какие наши дальнейшие действия по устранению заразы и реально ли будет расшифровать файлы?

 

P.S. Сканирование логером делалось на другом ПК, к которому подключен жесткий диск и в опциях указано, что надо проверять диски D и E.  Если надо было запускать на зараженной машине - то сделаем без проблем, просто пока боимся ее запускать, как бы ещё больше не навредить. 

post-53849-0-40683300-1554986379_thumb.jpg

post-53849-0-14507300-1554986385_thumb.jpg

CollectionLog-2019.04.11-15.10.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.
Sergey_Ts

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Если надо было запускать на зараженной машине - то сделаем без проблем

Да, логи нужны с заражённого компьютера.

 

Держите

CollectionLog-2019.04.11-16.45.zip

Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sergey_Ts

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1832290666-448453393-2010421412-2066\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing) (User 'unknown: S-1-5-21-1832290666-448453393-2010421412-2066')
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделано

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Вымогатель Shade, расшифровки нет. Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sergey_Ts

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Вымогатель Shade, расшифровки нет. Будет только очистка следов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2019-04-09 13:06 - 2019-04-11 12:15 - 000000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sergey_Ts

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Сделали.

Подскажите такой момент: какой механизм распространения этого вируса? Вот у нас на зараженном компьютере был подключен сетевой диск, которым пользуются еще несколько человек. На этом диске зашифровалась половина документов. Компьютеры пользователей проверили - вирусов нет. Есть опасность того, что вирус пошел гулять по сети как червь, или он заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Спасибо

secur.txt

Sandor

Sandor

Опубликовано
Опубликовано

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

Sergey_Ts

Sergey_Ts

Опубликовано
  • Автор
Опубликовано

 

заражает только ПК, на котором открыли письмо с заразным вложением, а далее только шифрование всех документов на всех доступных дисках?

Именно так.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip 5.9.6.10833 v.5.9.6.10833 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

 

Принято, спасибо :)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Cdtnkfyf
      Все файлы на компьютере зашифрованы Файл "CRYPTED000007"
      Автор Cdtnkfyf
      Пришло письмо на почту, попытались открыть архив, не удалось.
      После обнаружили, что все файлы на дисках были зашифрованы, а далее вылезла надпись на рабочем столе, следующего содержания: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать  в файлах README.txt, которые можно найти на любом из дисков.
      А вот, что было в README:
      Baшu фaйлы были зaшифрoваны.
      Чmобы pacшuфрoвaть ux, Bам нeобходимo omправить кoд:
      6DBEF4BA457D3B1B95F6|0
      на элekтрoнный aдpес Novikov.Vavila@gmail.com .
      Далеe вы nолучитe вcе нeoбxoдимые uнcтрукцuu.
      Попытku pacшuфровaть cамoстоятeльнo нe nрuведym ни к чeму, кpоме безвозвpаmной потepu uнфopмации.
      Если вы вcё же хоmumе пoпытaтьcя, то nредвapuтельно cделaйтe pезeрвные коnии фaйлов, инaче в cлучaе
      ux uзменeнuя расшифровкa cтaнeт нeвозмoжнoй ни пpu kакиx ycлoвuях.
      Еслu вы не noлyчили оmветa no вышеykaзанномy aдреcy в теченue 48 чаcов (u moлькo в эmoм слyчaе!),
      воcпoльзуйmecь фоpмой oбраmнoй связu. Это мoжнo cдeлать двyмя cпосoбамu:
      1) Сkaчайme u уcmaновumе Tor Browser пo ссылkе: https://www.torproject.org/download/download-easy.html.en
      B адрeсной сmрoкe Tor Browser-а ввeдume адpес:
      http://cryptsen7fo43rr6.onion/
      u нaжмите Enter. 3аrpузитcя странuцa c фоpмoй обpатнoй cвязи.
      2) В любoм браyзepе neрeйдиmе nо однoмy uз aдресoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
      По вашему руководству, был скачан Касперский, проверен на вирусы, собраны Логи  (скидываю их).
       
      Жду дальнейшего указания, что делать.
      Спасибо.
       
      CollectionLog-2017.06.13-16.49.zip
    • leonbold
      Зашифрованы файлы
      Автор leonbold
      Все файлы на компьютере зашифрованы.
      Школьный компьютер администрации, что запускали не знаю. На рабочем столе появилась надпись, что все файлы зашифрованы вся информация в файле README...
      Был становлен Доктор Веб с просроченным ключом, удалил программу. Установил Kaspersky Internet Security, проверил, антивирус нашел Троян.Win32.Bazon.a, удалил. Как восстановить файлы?
      CollectionLog-2017.06.16-12.09.zip
      CollectionLog-2017.06.16-12.09.zip
    • ВикаВита
      Вирус шифровальщик NO_MORE_RANSOM
      Автор ВикаВита
      Здравствуйте, помогите в расшифровке файлов. Все файлы зашифровались вирусом, тип   NO_MORE_RANSOM. 
      После открытия письма от якобы сбербанка.
      CollectionLog-2017.06.06-11.39.zip
    • lobasv
      заражение cryted000007
      Автор lobasv
      Добрый день. 
       
      Помогите расшифровать файлы. 
      CollectionLog-2017.06.15-15.32.zip
    • Mihaz34
      Расшифровка crypted000007
      Автор Mihaz34
      Доброго времени суток. 
       
      Прошу помочь в расшифровке файлов на бухгалтерском компьютере. Не опытный бухгалтер поймала каким то образом шифровальщик. А у нас есть жизненно важные файлы на компьютере. Фирма маленькая, возможности платить за расшифровку мошенникам нет. Помогите расшифровать. Архив с файлами прикреплен.
      CollectionLog-2017.06.14-18.35.rar
×
×
  • Создать...