Перейти к содержанию

Рекомендуемые сообщения

словил шифровальщик bitcoin@email.tg

29.02.2020 файлы были зашифрованы.

на комп заходили по RDP и Anydesk.

 

pack.zip

CollectionLog-2020.03.02-11.14.zip

Изменено пользователем W32neshuta
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Лишнего администратора отключите или удалите:

user (S-1-5-21-599357780-2875187717-3479361454-1001 - Administrator - Enabled) => C:\Users\user

Администратор (S-1-5-21-599357780-2875187717-3479361454-500 - Administrator - Disabled)

Пароль на RDP смените.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Cloud

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

прикрепил новый файл скана. CollectionLog-2020.03.02-11.14.zip  

Добавил лог  AdwCleaner

AdwCleanerS02.txt

Изменено пользователем W32neshuta
Ссылка на сообщение
Поделиться на другие сайты

Файл AdwCleaner[C00].txt тоже покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13913 2020-02-28] () [File not signed]
    HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13913 2020-02-28] () [File not signed]
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
    Task: {998E7E0F-A5AB-4C09-8E50-73B822DEEAE8} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\WINDOWS\system32\Info.hta
    2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\Users\user\AppData\Roaming\Info.hta
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Файл AdwCleaner[C00].txt тоже покажите.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

AdwCleanerC00.txt

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Скрипт достаточно было выполнить один раз.

 

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты


  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

K-Lite Mega Codec Pack 12.4.4 v.12.4.4 Внимание! Скачать обновления

TeamViewer 13 v.13.2.36217 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^

Java SE Development Kit 7 Update 79 v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u241-windows-i586.exe).

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.3.0 ESR (x64 ru) v.60.3.0 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Маловероятно. Но если планируете ждать, сохраните в том числе папку C:\FRST

 

Ознакомьтесь со статьей. Если есть возможность, напишите заявление.

Ссылка на сообщение
Поделиться на другие сайты

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

Угу, но только скорее всего попросят оставшиеся 1500$ на втором этапе, который необходим для расшифровки. Так что не обольщайтесь. Я бы им не верил наслово. Пример: https://safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578 . Замечу, что модификация шифровальщика у вас такая же, а те кто его используют показали себя не с лучшей стороны. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ВячеславККК
      От ВячеславККК
      похожая ерунда случилась. файлы зашифрованы с расширением id-222CC5A1.[cryptocash@aol.com].CASH
      есть какая то вероятность расшифровки? и какая нибудь утилита для проверки на предмет самого шифровальшика? где его искать если он ещё где то есть в системе


      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=63822
    • w3r3wolf
      От w3r3wolf
      Добрый день!
      На нашем сервере зашифрованы файлы при помощи: HEUR:Trojan-Ransom.Win32.Agent.gen
      Созданы файлы: [PedantBack@protonmail.com].pQPCtSzc-U0lAaLH8.PEDANT
      Информацию прикрепил с Farbar Recovery Scan Tool
      inform.zip
    • Horoshii
      От Horoshii
      Здравствуйте!

       

      Прошу помочь в борьбе с вирусом и расшифровать файлы.

      После заражения компьютера типы файлов стали CRYPTED00007.

      в файле README.txt указана почта злоумышленников.

      Прикрепляю файлы и так же лог работы xoristdecryptor.

      вирус.rar
    • Dysyndyst
      От Dysyndyst
      Здравствуйте, проблема такая же как и у  всех,
    • Хитаров_Тимур
      От Хитаров_Тимур
      Здравствуйте! Подобная тема уже есть, но там нет ответа https://forum.kasperskyclub.ru/index.php?showtopic=54027. Суть проблемы такая же. Тех поддержка Dr Web написала что это вирус Trojan.Encoder.858. Зашифровал все файлы Word-овские документы. Корпоративная сеть с файловым севером и 33 станциями имеющим к нему допуск. Где славила как обычно не признается.
      1. В текст. файле Readme1 (Таких по системе накидал полно) сообщение вымогателя.
      2. Log 09.26 Выполнял на файловом сервере.
      3. Log 10.28 Выполнен на зараженной станции.
      3. Так же высылаю Скрин найденных вирусов Куреитом выполненный на зараженном ПК .
      4. В ПАПКЕ ВИРУСЫ НАЙДЕННЫЕ НА ПК ВИРУСЫ!
      5. Текстовый файл отчет Куреита с Сервера.
          Я так понимаю, что этот шифровальщик удалился уже. (Или нет?)
          В общем мне нужен ваш совет и ваша помощь.
      1. Включать ли мне сеть обратно? (Доступ к серваку)
      2. Остался ли какой нибудь вирус в сети? Как он вообще распостраняется.
      3. Ну и любому совету буду рад.
       
      К первому письму. Отчет Куреита и скрин проверки Куреита
      CollectionLog-2017.01.18-10.28.zip
      CollectionLog-2017.01.18-09.26.zip
      README1.txt
      Картинка и Куреит.zip
×
×
  • Создать...