Перейти к содержанию

Рекомендуемые сообщения

Комп под защитой Касперский FREE 19.0, RDP порт изменен на нестандартный. Windows 7. На компьютере никто не работает, он для удаленки.
Все файлы после расширения имеют:  [zoro4747@gmx.de].zoro
Предыдущие версии файлов уничтожены зловредом.

Внутри файлов все перемешано.
Спасите, кто может. Семейные фотки и т.д. :-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Порядок оформления запроса о помощи.

Логи прикрепите к следующему сообщению в данной теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все выполнил.


Списался с шифровальщиком, он расшифровал файл, что бы доказать, что может расшифровать. Такой же но зашифрованный я предоставил вначале


Вот расшифрованный файл и подозрительные файлы обнаруженные CureIt.
Пароль на архив 123, иначе антивирус не дает прикрепить архивный файл.

CollectionLog-2019.05.13-01.24.zip

report1.log

report2.log

aids_files.rar

Свете качнуть.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user\Music\processhacker-2.39-bin\x64\kprocesshacker.sys','');
 SetServiceStart('KProcessHacker3', 4);
 DeleteService('KProcessHacker3');
 TerminateProcessByName('c:\users\user\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\user\appdata\roaming\winupmgr.exe','');
 DeleteFile('c:\users\user\appdata\roaming\winupmgr.exe','32');
 DeleteFile('C:\Users\user\Music\processhacker-2.39-bin\x64\kprocesshacker.sys','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BtMFfAOPVHouF','x32');
 DeleteFile('C:\Users\user\!!! RESTORE DATA !!!.TXT','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BtMFfAOPVHouF','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1 - После работы CureIt и перезапуска заработал антивирус (Kaspersky Free 19.0.0). Я его отключил и выполнил AutoLogger-test. Результат его работы в CollectionLog-2019.05.13-08.16.
2 - Предоставленный вами скрипт запускал как до выполнения AutoLogger-test , так и после. В обоих случаях был нулевой размер quarantine, но файл который был получен, я вам высылаю. Правда, в нем ничего нет :-(

CollectionLog-2019.05.13-08.16.zip

quarantine.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Увы. это Scarab и расшифровки нет. Только зачистка следов вирусов.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE DATA !!!.TXT [2019-05-12] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE DATA !!!.TXT [2019-05-12] () [File not signed]
2019-05-12 05:30 - 2019-05-12 05:30 - 000918946 _____ C:\Users\user\BtMFfAOPVHouF.bmp
2019-05-12 05:29 - 2019-05-12 05:30 - 000000740 _____ C:\Users\user\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Все пользователи\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr2\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\usr1\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user11\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\user\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Downloads\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Documents\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\Desktop\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Public\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\Default\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\Users\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE DATA !!!.TXT
2019-05-12 05:29 - 2019-05-12 05:29 - 000000740 _____ C:\ProgramData\!!! RESTORE DATA !!!.TXT
2019-05-12 05:27 - 2019-05-12 05:27 - 000000740 _____ C:\Program Files (x86)\!!! RESTORE DATA !!!.TXT
2019-05-12 05:26 - 2019-05-12 05:26 - 000000740 _____ C:\Program Files\!!! RESTORE DATA !!!.TXT
2019-05-12 04:04 - 2014-05-26 22:58 - 000000485 _____ C:\Users\user\Downloads\Clearr.cmd.[zoro4747@gmx.de].zoro
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE DATA !!!.TXT
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE DATA !!!.TXT
2019-05-12 03:34 - 2019-05-12 03:34 - 000000740 _____ C:\Users\user\AppData\Roaming\!!! RESTORE DATA !!!.TXT
2019-05-12 03:33 - 2019-05-12 03:34 - 000000000 ____D C:\Users\user\AppData\Roaming\Process Hacker 2
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понятно... А откуда он взялся? И почему антивирус дал ему сработать? Что сделать что бы в будущем такого не было?


Вот...

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по времени шифрования был вход по RDP после подбора простого пароля.

 

Антивирусные решения лишь уменьшают риск заболеть, но 100% гарантии защиты не дает ни один разработчик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пароль был 8 символов, большие маленькие буквы и цифры. Политика блокировки 3 минуты при 3 ошибках в пароле. Простой перебор врядли... Значит чтото еще есть там...
Вы сделали все что могли. Спасибо.
Скажите, Линукс шифруют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просто так подобные утилиты C:\Users\user\Music\processhacker-2.39-bin да еще и в указанной папке и в ночное время не появляются. Значит точно был брут.

 

Линукс если и шифруют, то ооочень редко. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Стояла станция смотрящая в инет чисто для доступа по RDP к другим компам сети... Зашифровали(((( Этот же паразит zoro4747@gmx.de

 

Списался с ним. Договорился на 100$.
Есть смысл оплачивать? Если будет мой код, пример зашифрованного файла и расшифрованного и ключ который он пришлёт за 100$... Это поможет остальным расшифроваться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет. Ключ уникальный для каждого пострадавшего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда кукиш ему а не 100$ )))
Если бы это позволило вычислить алгоритм шифрования, и помочь многим потом, тогда бы может ещё потратился...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
    • От Alex172
      Добрый день,  на сервере завелся шифровальщик.
      В каждом диске создал txt файл с текстом:
      all your data has been locked us
      You want to return?
      Write email Dharm727@gmx.de or Dharm727@protonmail.com
       
      После лечения диском помощи винда не грузится.
      утилита удалила записи в реестре и файл C:\Windows\system32\1DVBG7_payload.exe как описано в закрытой теме  https://forum.kasperskyclub.ru/topic/65394-resheno-shifrovalschik-harma/
    • От toser1
      Здравствуйте, Всем.
      01.06 В сеть проник шифровальщик через RDP и зашифровал файлы, теперь фалы имеют расширение  - *.docx[reddragon000@protonmail.ch][sel2].[E63DB329-1C4639E4] и так далее. Пострадало несколько ПК хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   
      Необходимые файлы прикрепил.
      CollectionLog-2020.06.10-12.53.zip Карты по бензину.docx[reddragon000@protonmail.ch][sel2].[E63DB329-1C4639E4].zip
×
×
  • Создать...