Перейти к содержанию

Прошу помощи в расшифровке [veracrypt@foxmail.com].adobe


Рекомендуемые сообщения

Недавно поймали шифровальщик [veracrypt@foxmail.com].adobe. Когда зашел на компьютер в диспетчере задач выполнялся файл vera.exe, который (как выяснилось потом) начал шифровать файлы по сети. Данный файл был запущен через автозагрузку, так же злоумышленник на зараженном компьютере отключил антивирус и теневые копии. Файл vera.exe есть в наличии :lol:, при необходимости могу выслать. Так же прилагаю зашифрованный файл.

CollectionLog-2019.04.25-12.57.zip

autoexec.bat.id-46A4626B.veracrypt@foxmail.com.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Увы, расшифровки этого типа вымогателя нет.

Файл vera.exe есть в наличии

Не поможет.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('C:\Windows\System32\vera.exe', '');
 QuarantineFile('C:\Windows\TEMP\KAVREM~1\398125~1\exec\setup.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Windows\System32\Info.hta', '32');
 DeleteFile('C:\Windows\System32\vera.exe', '32');
 DeleteFile('C:\Windows\TEMP\KAVREM~1\398125~1\exec\setup.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vera.exe', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-03-28] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-1721866094-564990494-3593694446-2850\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-1721866094-564990494-3593694446-2850\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ярлыки запуска программ придется пересоздать вручную.

 

Смените важные пароли.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Kaspersky Endpoint Security 10 для Windows v.10.2.4.674 - обновите до актуальной 11-й версии.

 

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

PuTTY version 0.63 v.0.63 Внимание! Скачать обновления

TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления

WinRAR 4.00 бета 3 (32-разрядная) v.4.00.3 Внимание! Скачать обновления

WinSCP 5.1.3 v.5.1.3 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u211-windows-i586.exe).

Java SE Development Kit 7 Update 25 v.1.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u211-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления

Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления

Adobe Acrobat Reader DC MUI v.15.006.30097 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 50.0.2 (x86 ru) v.50.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • andry_p
      От andry_p
      Здравствуйте, 4 сервера компании, на 2 окно перед загрузкой ОС "введите пароль", к 2 есть возможность входа в ОС. Нет доступа к логическим дискам. На рабочем столе  текстовый файл с содержимым:
      Good afternoon, your data is encrypted!
      To receive the password, please transfer the $1500 monero cryptocurrency to this wallet
      43dZ1BbNBSZLKSUeandyFDB786RJdmcqUEUZZhBVG6nCaUdaqyTVXawKgu3SBLXnwTbAxumSxnHMDWqx3k3E1U6iVE8ejwG
      Write further to this mailbox vashbidannnie@rambler.ru
       
      Прошу помощи в решении проблемы.
      CollectionLog-2021.05.11-12.47.zip
    • Дима007
      От Дима007
      Доброго времени суток. Столкнулся с проблемой. Был взломан сервер (Виндовс). Все было зашифровано, просят 500 долларов за пароль. Все обдумал, пытался вернуть важные данные... но, не удалось. Может кто-нибудь выходил с этой сложной ситуации? Зарание спасибо 
×
×
  • Создать...