Шифровальщик .[veracrypt@foxmail.com].adobe

[doneld 0]

Добрый день, поймал шифровальщик veracrypt@foxmail.com.

Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.

[Sandor 1 252]

Здравствуйте!

 

Порядок оформления запроса о помощи

[doneld 0]

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Прошу прощения

CollectionLog-2019.04.12-11.13.zip

[Sandor 1 252]

Два замечания:

1. При выполнении рекомендаций все остальные запущенные программы следует по возможности закрывать.

2. Не цитируйте полностью предыдущее сообщение, а используйте форму быстрого ответа внизу.

 

Вопросы:

Папка C:\scr\ вам известна?

Программу NiceHash Miner ставили самостоятельно?

 

Auslogics BoostSpeed деинсталлируйте.

[doneld 0]

c:/scr да известна, мои скрипты. nicehash я устанавливал.

[Sandor 1 252]

Расшифровки этого типа вымогателя нет.

Для очистки следов и мусора дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[doneld 0]

есть

Addition.txt

FRST.txt

[Sandor 1 252]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  2019-04-11 19:08 - 2017-08-13 23:32 - 001424896 _____ (Misc314) C:\Users\energy\Desktop\veracrypt@foxmail.com.exe
  2019-04-11 18:52 - 2019-04-11 18:52 - 000013928 _____ C:\Users\energy\AppData\Roaming\Info.hta
  2019-04-11 18:52 - 2019-04-11 18:52 - 000000176 _____ C:\Users\energy\Desktop\FILES ENCRYPTED.txt
  2019-04-11 18:04 - 2019-04-11 18:11 - 000094720 _____ C:\Users\energy\AppData\Roaming\1task.exe
  AlternateDataStreams: C:\Windows:{7BC0BEE7-487C-4DEF-9189-9518F7E029F0} [26]
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  Zip: C:\FRST\Quarantine
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Подробнее читайте в этом руководстве.

[doneld 0]

Есть ли шансы на восстановление? или в будущем?

Fixlog.txt

[Sandor 1 252]

C:\Users\Администратор\Desktop\12.04.2019_14.05.53.zip отправили на почту?

 

Есть ли шансы на восстановление?

Уточню - мы не являемся сотрудниками ЛК.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

или в будущем?

Такое случается, но очень редко, к сожалению.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[doneld 0]

часто используемых уязвимостей не обнаружено! Выполнен без ошибок! Не могу отправить архив. Т.к. возможно содержит вирус. пробовал с нескольких ящиков

[Sandor 1 252]

Попробуйте перепаковать с паролем malware и отправить.

Если не получится, ладно.

 

Рекомендации после удаления вредоносного ПО

[Иван Орфиняк 0]

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

[mike 1 1 093]

Добрый день!

Та же проблема с шифровальщиком veracrypt@foxmail.com с расширением adobe.

Впоймали вчера (и тоже скорее всего по RDP).

Как сказал пользователь появилась табличка Lock Mouse, не могли ничего сделать и нажали перезагрузку....

Здравствуйте. Создайте свою тему.