Перейти к содержанию

Рекомендуемые сообщения

Добрый день,

подвергся атаке Trojan.Encoder.11539, но это не точно.

Краткая хронология:

- зависание ПК и активная работа хдд насторожила не сразу;

- перезагрузка и проверка Kaspersky Total Security(тестовая версия);

     - HEUR:Trojan.Win32.Agent.gen 

     - UDS:Backdoor.MSIL.Androm.gen 

     - HackTool.Win32.KMSAuto.i 

- проверка CureIT:

     - угроза HOST, к сожалению кликнул не посмотрев на вылечить и т.п.;

     - повторная проверка была уже чистой;

- от 30-50% файлов зашифровано;

 

Скрипт выдал ошибку при работе.

Error #5 - Invalid proocedure call or argement

Касперский был выключен и закрыт при проверке.

 

Если это действительно 11539, то дешифровка невозможна как я понял?

И главным становится вопрос - почему это произошло, как произошло заражение? Если логи помогут вам, я буду очень благодарен за ответ.

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

забыли прикрепить логи
внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет и вряд ли скоро появится. Будет только очистка следов.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Peter\AppData\Local\sdgd.exe', '');
 DeleteFile('C:\Users\Peter\AppData\Local\sdgd.exe', '32');
 DeleteFile('C:\Users\Peter\AppData\Local\sdgd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sdgd', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sdgd', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день,

KLAN-10474926428

результаты повторной диагностики  Autologger прикрепляю.

Если логи вам дали информацию, подскажите пожалуйста - возможно ли понять как произошло заражение?

Спасибо

CollectionLog-2019.06.21-11.41.zip

Ссылка на сообщение
Поделиться на другие сайты

KLAN-10474926428

Номер вы сообщили, а сам ответ нет.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отчеты:

прикрепил;

 

Письмо:

[KLAN-10474926428]

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

- Архив сам quarantine.zip весит 1 кб, и пустой;

Addition.txt

FRST.txt

Изменено пользователем Peter R
Ссылка на сообщение
Поделиться на другие сайты

Понятно. Как говорится, отрицательный результат - тоже результат.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2019-06-17 15:38 - 2019-06-17 15:38 - 000001648 _____ C:\Users\Peter\AppData\Local\Restore-My-Files.txt
    2019-06-17 15:16 - 2019-06-17 15:16 - 000001648 _____ C:\Users\Peter\AppData\Roaming\Restore-My-Files.txt
    2019-06-17 15:05 - 2019-06-17 15:05 - 000001648 _____ C:\Users\Peter\Documents\Restore-My-Files.txt
    2019-06-17 15:05 - 2019-06-17 15:05 - 000001648 _____ C:\Users\Peter\Desktop\Restore-My-Files.txt
    2019-06-17 15:04 - 2019-06-17 15:04 - 000001648 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
    2019-06-17 15:04 - 2019-06-17 15:04 - 000001648 _____ C:\Users\Public\Documents\Restore-My-Files.txt
    2019-06-17 15:04 - 2019-06-17 15:04 - 000001648 _____ C:\Users\Peter\Restore-My-Files.txt
    2019-06-17 15:04 - 2019-06-17 15:04 - 000001648 _____ C:\Users\Peter\Downloads\Restore-My-Files.txt
    2019-06-17 15:03 - 2019-06-17 15:03 - 000001648 _____ C:\Users\Public\Restore-My-Files.txt
    2019-06-17 14:53 - 2019-06-17 14:53 - 000001648 _____ C:\Users\Все пользователи\Restore-My-Files.txt
    2019-06-17 14:53 - 2019-06-17 14:53 - 000001648 _____ C:\ProgramData\Restore-My-Files.txt
    AlternateDataStreams: C:\Windows:nlsPreferences [386]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    HKU\S-1-5-21-3577252158-3068638465-744672795-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Всё перечисленное постарайтесь исправить/обновить:

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17691 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Дата установки обновлений: 2015-03-31 23:31:02

------------------------------- [ HotFix ] --------------------------------

HotFix KB3020369 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4503292 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.7 v.4.7.02053 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.10.0.95 v.3.10.0.95 Внимание! Скачать обновления

K-Lite Codec Pack 11.0.5 Full v.11.0.5 Внимание! Скачать обновления

TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.50 (64-bit) v.5.50.0 Внимание! Скачать обновления

7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 181 v.8.0.1810.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^

 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

вирус зашифровал  пользовательские данные профиля для разного софта

Софт более не работает теперь, рассматриваю варианты - создать нового пользователя, переустановить софт, формат C;

подскажите пожалуйста не нашлось ли пути=причины заражения, 1й раз такое произошло, а я не молод уже)
 

Ссылка на сообщение
Поделиться на другие сайты

Началось 2019-06-17 15:04 пользователь C:\Users\Peter\

 

Перечисленные постом выше хот-фиксы как раз закрывают дыру, через которую вредонос мог проникнуть.

Также причиной мог послужить слабый пароль на RDP.

 

зашифровал  пользовательские данные профиля для разного софта

Возможно будет достаточно вручную пересоздать ярлыки запуска неработающих программ.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От admbgo
      Зашифровались файлы.
      Можно восстановить?
      главная.xls.id[B0067465-2422].[SimpleSup@cock.li].Caley

      и такой текст
       
      All your data has been locked us
      You want to return?
      Write email SimpleSup@cock.li
      or SimpleSup@tutanota.com 
      telegram: @SimpleSup
      DO NOT GIVE THIS EMAUL TO 3RD PARTIES
      To write to us use the mail gmail.com, if you use other mails, your messages may not be received due to spam.
      in your message indicate:
      1. your country
      2. ip address of your server
      3. volume of encrypted information in gigabytes
      4. number of infected servers
      5. send us 1-2 files
      the total size of files must be less than 4Mb (non archived), 
      and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по корпоративным продуктам".
    • От Marf_82
      Добрый день
      Знакомые поймали вирус шифровальщик
      Во вложении некоторые файлы которые были зашифрованы, а также оригиналы этих файлов dll библиотеки
       
      Зашифровало не только системные файлы, но и нужные документы.
      Шифровальщика я нашел, и сохранил, могу предоставить
      ссылка на анализ этого файла в virustotal.com https://www.virustotal.com/gui/file/1fb4124aacdf3c14138eea95dbe1c31e9afadeecf14cbdb9c958b0afefeb3ad0/detection
      файлы.7z FRST.txt Addition.txt
    • От vadimartov
      Скачал с сайта trialeset.ru файл с названием Ключи активации на 365 дней.exe, после его запуска появился текстовый файл с ключами. Через некоторое время зайдя на диск с данными увидел что большая часть моих файлов заархивирована с одинаковым названием Фaйл зaшифрoвaн [itstome@cock.li] wannacash. Сам вирус невозможно поместить в архив. Антивирус его удалил. 
      Desktop.zip
    • От Pampei
      Доброго времени суток, 
      Поймал вот такую гадость:
      ||||||||----[ All your data is encrypted by a strong encryter called FLAMINGO ]----|||||||| ================================== # Unique ID : 9653F3E9 ================================== # E-mail : RansSupport@elude.in ############################################################################################ " PLEASE BE CAREFUL " : if your data is important to you, And you want to make a payment, be sure to send us a test file first(3 Mb),And make sure we have the ability to open your files(Decrypt test files).So first send the test file to prove that we can decrypt your files, Then make a payment (Buy BTC) and receive the decryption tool (Send Decrypter). ############################################################################################ If you do not receive a reply after sending us an email, please send an email to the second email address. second E-mail : MrArturX@yandex.ru ############################################################################################ Кто сталкивался, есть шансы на восстановление файлов? 
       
       
      Во вложении зашифрованные файлы.
      [RansSupport@elude.in][ID=9653F3E9]без ошибок.txt.zip
×
×
  • Создать...