Павел Саморуков 0 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 Добрый день! Словили шифровальщика. Зашифрованы базы 1С. Файлы переименованы с добавлением {Help557@cock.li}.exe к имени файла CureIt нашел следующего зверя: winupmgr.exe Trojan.PWS.Banker1.28083 Лог AVZ, текст требования и пара оригинальный/зашифрованный файл во вложении Если нужен оригинальный файл вируса, можем выложить Просим помощи в расшифровке. !!! RESTORE YOUR FILES !!!.TXT CollectionLog-2019.07.22-12.31.zip файлы.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 Здравствуйте! Вымогатель Scarab. Создайте запрос на расшифровку. Смените важные пароли, они были украдены. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User.WS16\AppData\Roaming\Microsoft\Windows\winupmgr.exe', ''); DeleteFile('C:\Users\User.WS16\AppData\Roaming\Microsoft\Windows\winupmgr.exe', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'JbwNsZxsHNzJTs', 'x32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'JbwNsZxsHNzJTs', 'x64'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', 'x32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-74100038-2306582583-3866526618-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', 'x64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Саморуков 0 Опубликовано 22 июля, 2019 Автор Share Опубликовано 22 июля, 2019 KLAN-10675510358 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:winupmgr.exe - Trojan-Banker.Win32.CliptoShuffler.cФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2019.07.22-13.10.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Саморуков 0 Опубликовано 22 июля, 2019 Автор Share Опубликовано 22 июля, 2019 Результаты сканирования FRST во вложении FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 На момент заражения антивирус был включен? Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-74100038-2306582583-3866526618-1001\...\MountPoints2: {7d1cb788-82de-11e9-82bf-fcaa1469f3bd} - "E:\Setup.exe" GroupPolicy: Restriction ? <==== ATTENTION GroupPolicyScripts: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION 2019-07-22 13:40 - 2019-07-22 13:40 - 000000000 ____D C:\ProgramData\s8tk 2019-07-22 13:36 - 2019-07-22 13:36 - 000000000 ____D C:\ProgramData\s9cg 2019-07-22 13:36 - 2019-07-22 13:36 - 000000000 ____D C:\ProgramData\s8p0 2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s9o4 2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s8lo 2019-07-22 13:35 - 2019-07-22 13:35 - 000000000 ____D C:\ProgramData\s4ak 2019-07-19 19:52 - 2019-07-19 19:52 - 000918946 _____ C:\Users\User.WS16\JbwNsZxsHNzJTs.bmp 2019-07-19 19:39 - 2019-07-20 21:14 - 000000974 _____ C:\Users\User.WS16\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:39 - 2019-07-19 19:39 - 000000934 _____ C:\Users\User.WS16\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-20 21:14 - 000000974 _____ C:\Users\User.WS16\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:52 - 000000934 _____ C:\Users\User.WS16\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\PuchkovaLB.ZAVOD\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\pavel\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\DefaultAppPool\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Classic .NET AppPool\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Downloads\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Documents\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\Desktop\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\AlifanovaVV\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\Administrator\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:38 - 2019-07-19 19:38 - 000000934 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT 2019-07-19 19:34 - 2019-07-19 19:34 - 000000000 ____D C:\Users\User.WS16\AppData\Roaming\Process Hacker 2 Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Саморуков 0 Опубликовано 22 июля, 2019 Автор Share Опубликовано 22 июля, 2019 Если все сделал верно, то лог во вложении Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 Верно. Запрос в вирлаб создали? Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Саморуков 0 Опубликовано 22 июля, 2019 Автор Share Опубликовано 22 июля, 2019 Да, запрос создал, информацию скинул, жду ответа от ТП по возможности расшифровки Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 22 июля, 2019 Share Опубликовано 22 июля, 2019 Ответ здесь тоже сообщите, пожалуйста. Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Саморуков 0 Опубликовано 23 июля, 2019 Автор Share Опубликовано 23 июля, 2019 Ваш запрос передан в Вирусную лабораторию, пожалуйста, ожидайте ответа. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
API 0 Опубликовано 23 июля, 2019 Share Опубликовано 23 июля, 2019 Тоже столкнулся с этим шифровальщиком. От меня какие-либо дополнительные данные пригодятся? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 23 июля, 2019 Share Опубликовано 23 июля, 2019 @API, здравствуйте! Не пишите в чужой теме. Это нарушение правил текущего раздела. Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.