Перейти к содержанию
jlexa2008

Шифровальщик .cryptopatronum@protonmail.com.enk

Рекомендуемые сообщения

Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)

 

файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com

описание вымогателей зашифровал сам себя прочитать его невозможно

 

во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)

пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)


проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)

CollectionLog-2020.01.27-10.56.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файлы

C:\Users\аz\Desktop\wininit.exe

C:\Windows\wininit.exe

загрузите на www.virustotal.com и покажите ссылки на результат.

 

Все ли ваши администраторы?

Administrator (S-1-5-21-2958210485-22507236-3393798882-500 - Administrator - Enabled) => C:\Users\Administrator

ak (S-1-5-21-2958210485-22507236-3393798882-1010 - Administrator - Enabled) => C:\Users\ak

az (S-1-5-21-2958210485-22507236-3393798882-1007 - Administrator - Enabled) => C:\Users\az

demo (S-1-5-21-2958210485-22507236-3393798882-1012 - Administrator - Enabled) => C:\Users\demo

kav (S-1-5-21-2958210485-22507236-3393798882-1011 - Administrator - Enabled) => C:\Users\kav

tv (S-1-5-21-2958210485-22507236-3393798882-1008 - Administrator - Enabled) => C:\Users\tv

аz (S-1-5-21-2958210485-22507236-3393798882-1013 - Administrator - Enabled) => C:\Users\аz

Пароли на RDP смените.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\Windows\wininit.exe

https://www.virustotal.com/gui/file/458ad7362cfb6980b9e7eb19ab83ddc6d261bf6b057f1892267dd55c656e9686/detection

 

C:\Users\аz\Desktop\wininit.exe

-в этой папке файла нет (в скрытых файлах и системных тоже нет)

 

 

Все ли ваши администраторы?

почти все администраторы (кроме demo)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\wininit.exe', '');
 DeleteFile('C:\Windows\wininit.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

кроме demo

Заблокируйте или удалите учётку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

новый файл лога, антивирусом (касперский) проверил.


Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

 

файл отправил, ответ пока не пришел (2 раза отправлял)

CollectionLog-2020.01.27-14.06.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Соберите свежие логи FRST.txt и Addition.txt

 

файл отправил, ответ пока не пришел

В ЛС отправил ещё один адрес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файл

C:\Windows\wininit 11111.rar

вручную переместите оттуда.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • От doneld
      Добрый день, поймал шифровальщик veracrypt@foxmail.com.
      Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.
    • От neyda4nik
      Добрый день. Зашифрованы файлы. Добавлено ко всем расширение .omerta . Файлы зашифрованы частично (рабочий стол не тронут, некоторые файлы в папках). Подскажите возможно ли расшифровать?? Лог прикрепляю.  Также в прикреплении скрин из истории браузера, что-то подозрительное.

      CollectionLog-2019.02.08-09.43.zip
    • От ravna
      Добрый день.
      Утром обнаружили на сервере все зашифрованные файлы. Шифрование произошло ночью.
      Результат проверки утилитами Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! - 0 вирусов
      Приложил отчет, образец зашифрованного файла и сообщение в текстовом файле, которое находится на рабочем столе и в каждом каталоге дисков.
      Спасибо
       
       
      CollectionLog-2018.08.30-11.22.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      wincmd.ini.BD.zip
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.