Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. С какой точно станции был запущен шифровальщик неизвестно. Часть файлов удалось восстановить из удаленных. Возможно ли как-то расшифровать файлы. Логи со станций и сервера во вложении.

Спасибо.

CollectionLog-2019.06.24-15.48-Server.zip

CollectionLog-2019.06.19-10.08-Recep2.zip

CollectionLog-2019.06.17-14.08-FOM.zip

CollectionLog-2019.06.17-13.48-Recep3.zip

CollectionLog-2019.06.17-13.35-Recep1.zip

Опубликовано

Здравствуйте.

 

Сервер наверняка и стал источником шифрования. Скрипт написан по логам сервера. Сразу предупреждаю: расшифровки нет.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','');
 TerminateProcessByName('c:\users\bofexp\music\ns.exe..exe');
 QuarantineFile('c:\users\bofexp\music\ns.exe..exe','');
 TerminateProcessByName('c:\users\bofexp\desktop\lock.exe');
 QuarantineFile('c:\users\bofexp\desktop\lock.exe','');
 DeleteFile('c:\users\bofexp\desktop\lock.exe','32');
 DeleteFile('c:\users\bofexp\music\ns.exe..exe','32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\BofExp\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\BofExp\AppData\Local\Ubisoft\wahiver.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppLaunch.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Опубликовано

Добрый день.

Спасибо!

 

Результат загрузки
Файл сохранён как 190625_115551_quarantine_5d120bc76fc2e.zip
Размер файла 50067
MD5 33e3df70747f6d00918690dd8b3f1915
Файл закачан, спасибо!
 
 
Логи во вложении

CollectionLog-2019.06.25-16.45.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано (изменено)

Добрый день

Во вложении

Desktop.zip

Изменено пользователем SAnt
Опубликовано

Логи в порядке.

 

Больше помочь нечем.

Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...