Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. Базы данных заархивированы в архив winrar и запаролены. Проверка на вирусы утилитами не показала никаких заражений. текст письма в формате "txt": 

 

 

Здравствуйте, ваши файлы запакованы в архивы с паролем. 
Если вам нужен пароль пишите на почту winrarpass@protonmail.com
Пароль стоит всего 15000 рублей
 
p.s. Огромная просьба не писать просто так, ответы на все популярные вопросы ниже (НАДО ЧИТАТЬ!).
 
Вопросы и ответы:
 
Как вы к нам попали ?
- У вас есть Подключение к удаленному рабочему столу. Смените пароли к учетным записм как только это прочтете.
С этого комптютера уже могла вестись работа с локальными ресурсами и.т.п.
 
Откуда мне знать что все файлы расшифруются ?
- Это обычный архив, вы сами можете открыть его и посмотреть все ли на месте. Распаковывать вы будите сами, я только продаю пароль. Что бы узнать есть ли у меня пароль, отправьте мне какой нибудь архив, я что нибудь распакую и отправлю вам.
 
Это не повторится ?
- Чуть выше написано что нужно сделать что бы это не повторилось. Могу так же посоветовать всегда обновлять виндовс, офисные программы и для своего успокоения установить антивирус.
 
Кто вы ? Как вы нас нашли и.т.п. 
- Найти все компьютеры в СНГ с открытым 3389 портом это 2 часа времени. Проверить на слабые пароли занимает ненамного больше времени
Я это наименьшее зло из возможных, так как обычно за такое просят от 10к. Я не копировал файлы себе, мне плевать что у вас там в базах и все что мне нужно это копеечку на еду и проституток.
 
p.s.s. Вопросы по типу "Гарантии" и "А если ... ?" из разряда глупых. Вы отправляете деньги - получаете пароль. Все довольны, каждый продолжает жить своей жизнью. Я думаю очевидно что в моих интересах что бы клиент оставался доволен.
Опубликовано (изменено)

С разархивацией помочь не сможем.

Смените пароли на RDP и на учетную запись администратора.

 

Следы прежнего заражения почистим:

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Очистите следы бывшей установки антивируса Comodo по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', '');
 QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\cis6A94.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\smss.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('At1');
 DeleteSchedulerTask('At1.job');
 DeleteSchedulerTask('CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}');
 DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '64');
 DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '64');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\cis6A94.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Local\smss.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\smss.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '64');
 DeleteFile('C:\Users\Администратор\Favorites\Mail.Ru.url');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '64');
 DeleteService('ContentProtector');
 DeleteService('ContentProtectorDrv');
 DeleteService('ContentProtectorUpdate');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(8);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Опубликовано

KL-713756

Сам ответ тоже процитируйте, пожалуйста.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKLM-x32\...\Run: [Bron-Spizaetus] => "C:\Users\Администратор\WINDOWS\ShellNew\bronstab.exe"
    C:\Users\Администратор\WINDOWS\ShellNew\bronstab.exe
    HKU\S-1-5-21-578529663-3040081872-3248628553-1121\...\MountPoints2: {1c0974c6-fecb-11e9-abab-f46d04de51df} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-578529663-3040081872-3248628553-500\...\MountPoints2: {1c0974c6-fecb-11e9-abab-f46d04de51df} - E:\HiSuiteDownLoader.exe
    CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb]
    CHR HKLM-x32\...\Chrome\Extension: [fbgiiajhkmfpcfkdlfbbicfgkaaidfop]
    CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm]
    2016-08-10 16:02 - 2016-08-10 16:02 - 000041872 _____ () C:\Users\Администратор\AppData\Local\Bron.tok.A9.em.bin
    MSCONFIG\startupreg: MailRuUpdater => C:\Users\Администратор\AppData\Local\Mail.Ru\MailRuUpdater.exe
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Опубликовано

Достаточно было один раз выполнить фикс, а не трижды.

 

Напоминаю:

Смените пароли на RDP и на учетную запись администратора.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Опубликовано

Пароли и порт, сменили , уязвимости  закрыли,  вариант расшифровать файлы есть вообще ?

Опубликовано

Вероятно вы не заметили, я в начале ещё сказал:

С разархивацией помочь не сможем

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iceman91
      Автор iceman91
      В один из дней на серваке в примерно 650 папках все файлы типа doc jpg pdf и тд стали архивами с паролем и в этих же папках создалось по текстовому документу с описанием и требованием 10к рублей. Подозреваю, что кто то принял "нехорошее" письмо, так как эта штука разошлась только по общим папкам отделов..
      CollectionLog-2015.02.09-18.03.zip
    • iceman91
      Автор iceman91
      Добрый день, случилась беда на сервере, в 650 папках появился текстовый файл с предложением заплатить 10к рублей за пасс от архива.. как это можно победить? уже очень много нужных файлов испортилось..

      соответственно были заархивированы все файлы doc, pdf, jpg и тд, которые есть в папке с этими файлами 
    • Евгений Гадюков
      Автор Евгений Гадюков
      Здравствуйте! Вообщем проблема такая, вирус заархивировал все базы 1с на сервере и все сетевые папки и бэкапы системы,  на диске появился архив с названием папки баз 1с в котором все содержимое дисков, архив запоролен и папка ~ERAFSWD.TMP. Что дальше делать не знаем. Помогите восстановить данные.
    • egor_ka8
      Автор egor_ka8
      Здравствуйте. 17.10.16 в 7:11 был запущен вирус-шифровальщик. В системе появился пользователь administrator, где в папке пользователя Roaming лежали вирусные файлы. Все зашифрованные файлы имеют расширение exe и формат sfx rar. 
      В интернете было написано, что это возможен вариант программы, которая генерирует пароль по времени его запуска. Почта, которая там написана - не работает. Имеем в виду, что услуга платная, если есть какие то шансы.
      зашифрованные файлы.rar
      CollectionLog-2016.10.18-13.21.zip
    • panda7007
      Автор panda7007
      Здравствуйте!
      Вирус заархивировал папку рабочего стола, папку с базами 1с, и еще 1 папку в три архива и создал на диске д текстовые файлы со следущим содержимым
        Внимание! Ваши данные заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения). При согласии напишите на почту    rob1111stewar@hotmail.com  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).  IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.   прикрепляю  файл логов AVZ 
×
×
  • Создать...