Перейти к содержанию

[РЕШЕНО] Вирус шифровальщик [veracrypt@foxmail.com].adobe

SAnt
 Share

Рекомендуемые сообщения

SAnt Новичок

SAnt

Опубликовано
Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. С какой точно станции был запущен шифровальщик неизвестно. Часть файлов удалось восстановить из удаленных. Возможно ли как-то расшифровать файлы. Логи со станций и сервера во вложении.

Спасибо.

CollectionLog-2019.06.24-15.48-Server.zip

CollectionLog-2019.06.19-10.08-Recep2.zip

CollectionLog-2019.06.17-14.08-FOM.zip

CollectionLog-2019.06.17-13.48-Recep3.zip

CollectionLog-2019.06.17-13.35-Recep1.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Сервер наверняка и стал источником шифрования. Скрипт написан по логам сервера. Сразу предупреждаю: расшифровки нет.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','');
 TerminateProcessByName('c:\users\bofexp\music\ns.exe..exe');
 QuarantineFile('c:\users\bofexp\music\ns.exe..exe','');
 TerminateProcessByName('c:\users\bofexp\desktop\lock.exe');
 QuarantineFile('c:\users\bofexp\desktop\lock.exe','');
 DeleteFile('c:\users\bofexp\desktop\lock.exe','32');
 DeleteFile('c:\users\bofexp\music\ns.exe..exe','32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\BofExp\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\BofExp\AppData\Local\Ubisoft\wahiver.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppLaunch.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
SAnt Новичок

SAnt

Опубликовано
  • Автор
Опубликовано

Добрый день.

Спасибо!

 

Результат загрузки
Файл сохранён как 190625_115551_quarantine_5d120bc76fc2e.zip
Размер файла 50067
MD5 33e3df70747f6d00918690dd8b3f1915
Файл закачан, спасибо!
 
 
Логи во вложении

CollectionLog-2019.06.25-16.45.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Андрей2029
      Kaspersky Plus и продукты Adobe
      От Андрей2029
      Добрый день. С нредавних пор, порядка месяца постоянно вижу вот такие сообщения:

      Каждый раз новый адрес и порт, но все это касается только Adobe. Разумеется. в системе стоит лицензионный пакет Adobe Creative Cloud с набором софта, и разумеется, в исключения я все добавлял и ни раз. Каждый день, несколько раз за день вижу эти окошки. Можно как-то такое поведение Касперского Плюс изменить, ибо дастало?
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      От Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
×
×
  • Создать...