Перейти к содержанию

Шифратор .[jabber paybtc@sj.ms].Caley

Степаний Тушков

От Степаний Тушков
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Степаний Тушков Новичок

Степаний Тушков

Опубликовано
Опубликовано (изменено)

Здравствуйте, подхватили шифратор, скорее всего через RDP, резервные копии есть не все, все же хотелось надеяться на расшифровку.

CollectionLog-2020.02.03-13.35.zip

Изменено пользователем Sandor
Убрал архив с вредоносным файлом
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[FEE43F29-2422].[jabber paybtc@sj.ms].Caley', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '32');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Прикрепите также в архиве только зашифрованный файл вместе с запиской с требованием выкупа (возможно это C:\info.txt).

Ссылка на комментарий
Поделиться на другие сайты
Степаний Тушков Новичок

Степаний Тушков

Опубликовано
  • Автор
Опубликовано

Написал письмо на newvirus@kaspersky.com, ответа до сих пор нет, это нормально? или оно могло затеряться, тем более что письмо без темы...

Ссылка на комментарий
Поделиться на другие сайты
Степаний Тушков Новичок

Степаний Тушков

Опубликовано
  • Автор
Опубликовано

Лог после скрипта, файл требования и зараженный файл прикрепил. Кстате большие файлы шифрует не полностью, первые 4 мб только, дальше файлы целые, а в конце файла я так понял записывает зашифрованные данные из начала и еще что то...интересно возможно ли восстановить так БД, подменной первых 4мб...или еще как нибудь расковырять...жалко код вируса посмотреть не удалось..узнать бы его логику шифрования...

CollectionLog-2020.02.04-13.28.zip

info.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Тип вымогателя похож на Phobos и если это так, то расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 4 weeks later...
pioner007 Новичок

pioner007

Опубликовано
Опубликовано

Словил данного зловреда. С активным касперычем 10ым. Причем папка была выкошена от файлов вся. Структура папок осталась. Слежу за данной темой и понимаю что решения нет?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@pioner007, здравствуйте!

 

Не пишите в чужой теме, тем самым вы нарушаете правила раздела п. 2.2.

 

Создайте свою тему и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Galem333
      сестра скачала шифратор на ноутбук
      От Galem333
      Всем здравствуйте, Опишу в кратце что произошло. Прихожу домой я с тренировки и вижу на мамином ноутбуке такою картину (фото приклал) Моя сестра сказала что захотела поиграть в роблокс (детская игра) но не просто поиграть в игру а поиграть с читами некий друг по игре (которого она вообще в реальности не знает) скидывает ей файлик с этим так называемым читом ну она его открыла и компьютер перезагрузился а шифратор удалил все данные на мамином ноутбуке ну так вот дело в том что это не просто какой-то шифратор а самый настоящее зло которое сломала виндовс и не даëт что либо сделать с ОС прошу помогите!!!!!! (Логи я не могу предоставить т.к вирус превратил всю виндовс в блокнот) 


      Ноутбук сломан вариант с безопасным режимом сразу можно отмести
    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • Vyacheslv B.
      Шифратор Zeppelin
      От Vyacheslv B.
      Здравствуйте. Пострадал от действий вируса-шифровальщика. Возможно ли восстановить файлы?
       
       
       
      encrypt.zipFRST.zip
×
×
  • Создать...