Шифровальщик pilotpilot088@gmail.com

21 августа, 2019

Все стандартно - пришел архив по почте...

IP 111.86.247.10

Который в Ипонии

% Abuse contact for '111.86.0.0 - 111.87.255.255' is 'hostmaster@nic.ad.jp'

inetnum: 111.86.0.0 - 111.87.255.255

netname: KDDI

descr: KDDI CORPORATION

descr: Garden Air Tower,3-10-10,Iidabashi,Chiyoda-ku,Tokyo,102-8460,Japan

Внутри же скрипт

'Информация о заказе.2019-08.20.docx.js'

С вот такой забавной переменной:

удалено

которая на самом деле преобразуется в:

удалено

собсно сам файлик, по Касперу:

Объект: C:\Users\admin\Downloads\1c.jpg

Объект\Тип: Файл

Объект\Путь: C:\Users\admin\Downloads\

Объект\Название: 1c.jpg

Результат\Описание: Создана резервная копия

Результат\Тип: Троянская программа

Результат\Название: UDS:Trojan-Ransom.Win32.Shade

Результат\Степень угрозы: Высокая

Результат\Точность: Точно

Хеш: f5971d2c0788094e40b5d2f2a8091653efb6d7dc037d15128c3b9c5b12ef8574

Во вложении скан письма, FRST, архив с вирем (пасс: 45), шифрованный файл и ридми.

.

Cryptor.zip

Изменено 21 августа, 2019 пользователем thyrex
вредоносные ссылки и скрипт

21 августа, 2019

Расшифровки нет. Только зачистка следов мусора.

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\ProgramData\SoftwareDistribution\nheqminer.exe
() [File not signed] C:\Users\kastritskaya\AppData\Local\Temp\4F23F806.exe
() [File not signed] C:\Users\kastritskaya\AppData\Local\Temp\76548809.exe
() [File not signed] C:\Users\kastritskaya\AppData\Local\Temp\88DBDC1F.exe
(VHRGUMCPBKMFRGRSFG -> ) [File not signed] C:\ProgramData\Windows\csrss.exe
HKU\S-1-5-21-1525837526-2362725565-4098955276-5433\...\Run: [Command Line Support] => cmd.exe /C C:\PROGRA~3\SysWOW64\wAHtA.cmd
HKLM-x32\...\Run: [Client Server Runtime Subsystem] => C:\ProgramData\Windows\csrss.exe [959664 2019-08-20] (VHRGUMCPBKMFRGRSFG -> ) [File not signed] <==== ATTENTION
HKLM-x32\...\Run: [Windows Session Manager] => C:\ProgramData\services\csrss.exe [1635840 2019-08-21] () [File not signed] <==== ATTENTION
HKLM-x32\...\Run: [hh.exe] => C:\ProgramData\Resources\svchost.exe [777216 2019-08-21] () [File not signed] <==== ATTENTION
HKLM\ PoliciesDisallowedCertificates: 2990BA6BD3C5189EA4129FB486F9BE3B34AAB806 (U)
HKLM\ PoliciesDisallowedCertificates: 5D8EBD403E12BDE05A6025A0FB625A06A206EDB3 (U)
HKLM\ PoliciesDisallowedCertificates: 7709C8FE112562666C7AC973E43831BA9FADBB54 (U)
HKLM\ PoliciesDisallowedCertificates: 8F2DE7E770A8B1E412C2DE131064D7A52DA62287 (U)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [268464 2015-06-24] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
Task: {224FFC7F-756B-46AB-B74E-8A71B251837F} - System32\Tasks\At2 => rundll32.exe qgzhxaf.orz,ldvcgek <==== ATTENTION
Task: {F9150C6F-2D4F-4E43-9E8E-DFF175D4C3CF} - System32\Tasks\At1 => rundll32.exe qgzhxaf.orz,mujpnnn <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => rundll32 exeqgzhxaf orz mujpnnn NetScheduleJobAdd
Task: C:\Windows\Tasks\At2.job => rundll32 exeqgzhxaf orz ldvcgek NetScheduleJobAdd
2019-08-21 09:29 - 2019-08-21 09:29 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2019-08-21 09:29 - 2019-08-21 09:29 - 000000000 __SHD C:\Users\Все пользователи\Resources
2019-08-21 09:29 - 2019-08-21 09:29 - 000000000 __SHD C:\ProgramData\SysWOW64
2019-08-21 09:29 - 2019-08-21 09:29 - 000000000 __SHD C:\ProgramData\Resources
2019-08-21 09:28 - 2019-08-21 09:28 - 000000000 __SHD C:\Users\Все пользователи\services
2019-08-21 09:28 - 2019-08-21 09:28 - 000000000 __SHD C:\ProgramData\services
2019-08-20 12:29 - 2019-08-20 12:29 - 003932214 _____ C:\Users\kastritskaya\AppData\Roaming\7A5A1E917A5A1E91.bmp
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README9.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README8.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README7.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README6.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README5.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README4.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README3.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README2.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README10.txt
2019-08-20 12:29 - 2019-08-20 12:29 - 000004150 _____ C:\Users\kastritskaya\Desktop\README1.txt
2019-08-20 08:39 - 2019-08-20 09:18 - 000000352 _____ C:\Windows\Tasks\At2.job
2019-08-20 08:39 - 2019-08-20 08:39 - 000001858 _____ C:\Windows\System32\Tasks\At2
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README9.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README8.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README7.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README6.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README5.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README4.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README3.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README2.txt
2019-08-20 08:03 - 2019-08-20 08:03 - 000004150 _____ C:\README10.txt
2019-08-20 08:00 - 2019-08-20 08:00 - 000000000 __SHD C:\Users\Все пользователи\Windows
2019-08-20 08:00 - 2019-08-20 08:00 - 000000000 __SHD C:\ProgramData\Windows
2019-08-17 08:54 - 2019-08-20 09:18 - 000000352 _____ C:\Windows\Tasks\At1.job
2019-08-17 08:54 - 2019-08-17 08:54 - 000001858 _____ C:\Windows\System32\Tasks\At1
C:\PROGRA~3\SysWOW64\wAHtA.cmd
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: перезагрузку компьютера выполните вручную после этого скрипта.

21 августа, 2019

Спасибо!

Шифровальщик pilotpilot088@gmail.com

Рекомендуемые сообщения

Muttley

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Muttley

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum