Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] шифровальщик LDPR

jeanjean
 Поделиться

Рекомендуемые сообщения

jeanjean

jeanjean

Опубликовано
Опубликовано

Зашифрованы файлы и программы кроме системных.

Приложил лог

приложил сообщение

приложил зашифрованый файл и он же не зашифрованный

CollectionLog-2019.04.22-17.13.zip

FILES ENCRYPTED.txt

fileAndCrypted.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Шифровальщик похоже на новый вариант Dharma (семейство CrySiS) на данный момент неизвестны удачные случая расшифровки.

Если хотите, очистить остатки, то предоставьте следующий лог:


- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщите, пожалуйста если у Вас сохранился сам шифровальщик (вредоносное ПО которое привело к шифрованию файлов, предположительно notepad.exe)?

Ссылка на комментарий
Поделиться на другие сайты
jeanjean

jeanjean

Опубликовано
  • Автор
Опубликовано

RansomwareFileDecryptor 1.0.1668 MUI - определил как CRYSIS, но ни одного файла расшифровать не смог


не уверен сохранился ли. Где его искать? KVRT нашел только трояна в памяти.

FarBar.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

На сервере обнаружены остатки от антивируса Avast, воспользуйтесь утилитой avast remover для их удаления.

U0 aswVmm; no ImagePath

Попробуйте уточнить у пользователя nata, что она запускала перед появлением проблемы? Как вариант письмо в почте, либо какую-то скачанную программу и т.п. В некоторых случаях это результат взлома сервера, если он дступен из вне и использовался легкий к подбору пароль.

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
CreateRestorePoint:
2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
2019-04-21 17:51 - 2019-04-21 17:51 - 000000208 _____ D:\FILES ENCRYPTED.txt
File: D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
jeanjean

jeanjean

Опубликовано
  • Автор
Опубликовано

С авастом только завтра смогу, я сейчас в удаленке.


Сервер извне напрямую недоступен, но похоже что Вы правы относительно взлома. Пользователь nata не используется (по крайней мере не должен), но его рабочий каталог заражен (у остальных пользователей - нет)


к тому же время в воскресенье вечером, бюджетная контора

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

проверьте пожалуйста следующий файл на независимой системе https://www.virustotal.com

D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
CreateRestorePoint:
2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Однако много лопатила программа

Речь о шифровальщике?

 

Вам знакома следующее приложение?

 

%SystemDrive%\USERS\IRINA\APPDATA\LOCAL\CMSCLIENTNG\CMSCLIENTNG.EXE

В логах шифровальщика не нашел.

P.S. В большенстве случаев при запросе на расшифровку в тех. поддержку Лаборатории Касперского без шифровальщика не будет положителен.

Ссылка на комментарий
Поделиться на другие сайты
jeanjean

jeanjean

Опубликовано
  • Автор
Опубликовано

Образ автозапуска и сохранение файла неожиданно для меня долго делался.

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Хорошо, видимо у стороннего антивируса (Symantec) на него - ложное срабатывание.

 

Я воспользовался случаем (квотой на запрос) создал запрос по вашей проблеме в тех. поддержку в Лабораторию Касперского (ID #INC000010384105). Однако гарантировать какой-то положительный исход не могу.

P.S. Ответ может занять около 2-10 дней в зависимости от загруженности тех. поддержки. Если у Вас есть лицензия на продукты различных антивирусных вендоров то пробуйте создать запрос сами.

Ссылка на комментарий
Поделиться на другие сайты
jeanjean

jeanjean

Опубликовано
  • Автор
Опубликовано

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

post-44535-0-69020300-1555963791_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Если вам это ip-адрес не знаком, то попробуйте также обратиться в полицию, в случае если злоумышлинник забыл скрыть свой ip-адрес или зачистить логи подключений (как они обыно делают).

 

P.S. Обычно когда ловят злоумышлинников у них не остается других возможностей как идти на сделку с правосудием.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
×
×
  • Создать...