Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Словили шифровальщика. Зашифрованы базы 1С. Файлы переименованы с добавлением {Help557@cock.li}.exe к имени файла

CureIt нашел следующего зверя: winupmgr.exe Trojan.PWS.Banker1.28083

 

Лог AVZ, текст требования и пара оригинальный/зашифрованный файл во вложении

Если нужен оригинальный файл вируса, можем выложить

Просим помощи в расшифровке.

!!! RESTORE YOUR FILES !!!.TXT

CollectionLog-2019.07.22-12.31.zip

файлы.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Вымогатель Scarab. Создайте запрос на расшифровку.

 

Смените важные пароли, они были украдены.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User.WS16\AppData\Roaming\Microsoft\Windows\winupmgr.exe', '');
 DeleteFile('C:\Users\User.WS16\AppData\Roaming\Microsoft\Windows\winupmgr.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'JbwNsZxsHNzJTs', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'JbwNsZxsHNzJTs', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KLAN-10675510358

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
winupmgr.exe - Trojan-Banker.Win32.CliptoShuffler.c

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.07.22-13.10.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На момент заражения антивирус был включен?

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-74100038-2306582583-3866526618-1001\...\MountPoints2: {7d1cb788-82de-11e9-82bf-fcaa1469f3bd} - "E:\Setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-07-22 13:40 - 2019-07-22 13:40 - 000000000 ____D C:\ProgramData\s8tk
    2019-07-22 13:36 - 2019-07-22 13:36 - 000000000 ____D C:\ProgramData\s9cg
    2019-07-22 13:36 - 2019-07-22 13:36 - 000000000 ____D C:\ProgramData\s8p0
    2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s9o4
    2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s8lo
    2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s4ak
    2019-07-19 19:52 - 2019-07-19 19:52 - 000918946 _____ C:\Users\User.WS16\JbwNsZxsHNzJTs.bmp
    2019-07-19 19:39 - 2019-07-20 21:14 - 000000974 _____ C:\Users\User.WS16\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:39 - 2019-07-19 19:39 - 000000934 _____ C:\Users\User.WS16\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-20 21:14 - 000000974 _____ C:\Users\User.WS16\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:52 - 000000934 _____ C:\Users\User.WS16\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\DefaultAppPool\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Classic .NET AppPool\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Downloads\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Documents\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Desktop\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Administrator\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT
    2019-07-19 19:34 - 2019-07-19 19:34 - 000000000 ____D C:\Users\User.WS16\AppData\Roaming\Process Hacker 2
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Верно. Запрос в вирлаб создали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, запрос создал, информацию скинул, жду ответа от ТП по возможности расшифровки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответ здесь тоже сообщите, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тоже столкнулся с этим шифровальщиком. От меня какие-либо дополнительные данные пригодятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@API, здравствуйте!

 

Не пишите в чужой теме. Это нарушение правил текущего раздела.

Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...