Перейти к содержанию

[РЕШЕНО] Вирус шифровальщик [veracrypt@foxmail.com].adobe

SAnt
 Поделиться

Рекомендуемые сообщения

SAnt

SAnt

Опубликовано
Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. С какой точно станции был запущен шифровальщик неизвестно. Часть файлов удалось восстановить из удаленных. Возможно ли как-то расшифровать файлы. Логи со станций и сервера во вложении.

Спасибо.

CollectionLog-2019.06.24-15.48-Server.zip

CollectionLog-2019.06.19-10.08-Recep2.zip

CollectionLog-2019.06.17-14.08-FOM.zip

CollectionLog-2019.06.17-13.48-Recep3.zip

CollectionLog-2019.06.17-13.35-Recep1.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Сервер наверняка и стал источником шифрования. Скрипт написан по логам сервера. Сразу предупреждаю: расшифровки нет.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','');
 TerminateProcessByName('c:\users\bofexp\music\ns.exe..exe');
 QuarantineFile('c:\users\bofexp\music\ns.exe..exe','');
 TerminateProcessByName('c:\users\bofexp\desktop\lock.exe');
 QuarantineFile('c:\users\bofexp\desktop\lock.exe','');
 DeleteFile('c:\users\bofexp\desktop\lock.exe','32');
 DeleteFile('c:\users\bofexp\music\ns.exe..exe','32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\BofExp\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\BofExp\AppData\Local\Ubisoft\wahiver.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppLaunch.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

SAnt

SAnt

Опубликовано
  • Автор
Опубликовано

Добрый день.

Спасибо!

 

Результат загрузки
Файл сохранён как 190625_115551_quarantine_5d120bc76fc2e.zip
Размер файла 50067
MD5 33e3df70747f6d00918690dd8b3f1915
Файл закачан, спасибо!
 
 
Логи во вложении

CollectionLog-2019.06.25-16.45.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

SAnt

SAnt

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день

Во вложении

Desktop.zip

Изменено пользователем SAnt
thyrex

thyrex

Опубликовано
Опубликовано

Логи в порядке.

 

Больше помочь нечем.

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • sova.prod123
      [РЕШЕНО] Вирус
      Автор sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • RichardVirus
      [РЕШЕНО] Опасение вируса
      Автор RichardVirus
      Здравствуйте, хочу как минимум провести с вами профилактику компьютера на вирусы.
      Обычно делаю проверку Dr Web cureit и он жалуется на 2 программы (RusExcel и WinWord), которые я скачивал как аналоги оригинальных программ с сайта softportal.
      Хочу у вас узнать вирусные это программы или нет, сделал проверку dr web, но лог слишком много весит и не могу прикрепить файл. Его я загрузил на яндекс диск - https://disk.yandex.ru/d/F2pxwexO6nq5Rg

      CollectionLog-2025.03.13-22.11.zip
×
×
  • Создать...