Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

cryptocash@aol.com.CASH

sparck
 Поделиться

Рекомендуемые сообщения

sparck

sparck

Опубликовано
Опубликовано

Здравствуйте.

Словили шифровальщик, попал на расшаренные диски. 

Файлы приняли вид (cryptocash@aol.com).CASH

 

p/s логи собирал с сервера, где и зашифровались файлы 

CollectionLog-2019.11.03-02.04.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Вымогатель Dharma (.cezar Family), расшифровки нет, к сожалению.

 

Если нужна помощь в лечении, дополнительно:

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • 2 недели спустя...
sparck

sparck

Опубликовано
  • Автор
Опубликовано

Как понять откуда он проник и как защититься в дальнейшем? 

 

Здравствуйте,

Вымогатель Dharma (.cezar Family), расшифровки нет, к сожалению.

Если нужна помощь в лечении, дополнительно:

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Sandor

Sandor

Опубликовано
Опубликовано
@sparck, не пишите в чужих темах. Этим вы нарушаете правила раздела.
Sandor

Sandor

Опубликовано
Опубликовано

Ваше сообщение в чужой теме я убрал. А тут ждём:

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении

akoK

akoK

Опубликовано
Опубликовано

Как понять откуда он проник и как защититься в дальнейшем?

Слабый пароль RDP и доступ к серверу из сети интернет.

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Обязательно подскажем. Пока:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
HKU\S-1-5-21-1149499151-788901222-273780629-1112\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2019-11-02] () [File not signed]
HKLM\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
HKU\S-1-5-21-1149499151-788901222-273780629-1112\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2019-11-02 17:17 - 2019-11-13 16:41 - 000013922 _____ C:\Users\rustam\AppData\Roaming\Info.hta
2019-11-02 17:17 - 2019-11-13 16:41 - 000000220 _____ C:\Users\rustam\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000013922 _____ C:\Windows\system32\Info.hta
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\FILES ENCRYPTED.txt
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

sparck

sparck

Опубликовано
  • Автор
Опубликовано

А куда вставлять этот текст, что-то не очень понял......???

Обязательно подскажем. Пока:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
HKU\S-1-5-21-1149499151-788901222-273780629-1112\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2019-11-02] () [File not signed]
HKLM\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
HKU\S-1-5-21-1149499151-788901222-273780629-1112\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2019-11-02 17:17 - 2019-11-13 16:41 - 000013922 _____ C:\Users\rustam\AppData\Roaming\Info.hta
2019-11-02 17:17 - 2019-11-13 16:41 - 000000220 _____ C:\Users\rustam\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000013922 _____ C:\Windows\system32\Info.hta
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\FILES ENCRYPTED.txt
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Sandor

Sandor

Опубликовано
Опубликовано

Вставлять никуда не надо. Выполните по пунктам:

- Скопируйте выделенный текст (правой кнопкой - Копировать).

- Запустите FRST (FRST64) от имени администратора.

- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt)

sparck

sparck

Опубликовано
  • Автор
Опубликовано (изменено)

Высылаю файл 


Извините. в предыдущем письме не прикрепился. 

Fixlog.txt

Изменено пользователем sparck
Sandor

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  • 2 недели спустя...
sparck

sparck

Опубликовано
  • Автор
Опубликовано

К сожалению, все файлы на сервере зашифрованы, в том числе и системные. Сервер умер. Запускать на нем эту программу бессмысленно, она же не расшифрует файлы. 

Подскажите, на других серверах этим скриптом можно проверить уязвимости? 

Sandor

Sandor

Опубликовано
Опубликовано

на других серверах этим скриптом можно проверить уязвимости?

Да, можно.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Зашифрованы файлы -1A4B014A.{suri_namika@india.com}.xtbl
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Файлы зашифрованы Vegclass@aol.com.xtbl
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Шифровальщик, расширение файлов XTBL
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...