Перейти к содержанию

[РЕШЕНО] Вирус шифровальщик [veracrypt@foxmail.com].adobe

SAnt
 Поделиться

Рекомендуемые сообщения

SAnt

SAnt

Опубликовано
Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. С какой точно станции был запущен шифровальщик неизвестно. Часть файлов удалось восстановить из удаленных. Возможно ли как-то расшифровать файлы. Логи со станций и сервера во вложении.

Спасибо.

CollectionLog-2019.06.24-15.48-Server.zip

CollectionLog-2019.06.19-10.08-Recep2.zip

CollectionLog-2019.06.17-14.08-FOM.zip

CollectionLog-2019.06.17-13.48-Recep3.zip

CollectionLog-2019.06.17-13.35-Recep1.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Сервер наверняка и стал источником шифрования. Скрипт написан по логам сервера. Сразу предупреждаю: расшифровки нет.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','');
 TerminateProcessByName('c:\users\bofexp\music\ns.exe..exe');
 QuarantineFile('c:\users\bofexp\music\ns.exe..exe','');
 TerminateProcessByName('c:\users\bofexp\desktop\lock.exe');
 QuarantineFile('c:\users\bofexp\desktop\lock.exe','');
 DeleteFile('c:\users\bofexp\desktop\lock.exe','32');
 DeleteFile('c:\users\bofexp\music\ns.exe..exe','32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\BofExp\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\BofExp\AppData\Local\Ubisoft\wahiver.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppLaunch.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

SAnt

SAnt

Опубликовано
  • Автор
Опубликовано

Добрый день.

Спасибо!

 

Результат загрузки
Файл сохранён как 190625_115551_quarantine_5d120bc76fc2e.zip
Размер файла 50067
MD5 33e3df70747f6d00918690dd8b3f1915
Файл закачан, спасибо!
 
 
Логи во вложении

CollectionLog-2019.06.25-16.45.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

SAnt

SAnt

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день

Во вложении

Desktop.zip

Изменено пользователем SAnt
thyrex

thyrex

Опубликовано
Опубликовано

Логи в порядке.

 

Больше помочь нечем.

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...