Перейти к содержанию

Рекомендуемые сообщения

Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).

CollectionLog-2020.04.10-17.31.zip

report1.log

report2.log

Addition.txt

FRST.txt

how_to_decrypt.7z

Изменено пользователем Mayglu
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Egor1ch
      появился Trojan:Win32/Wacatac.D!ml в исключениях WD при попытке его удалить после перезагрузки пк всеравно в исключениях
      FRST.zip

    • От Lany
      Лазил по ПК зашёл в одну из папок и виндовс обнаружил вирус Trojan:Win32/Wacatac.D!ml,он был помещён в карантин не знаю удалился ли он полностью помогите! 
    • От Asag_ds98
      Добрый день!.
      Вчера скачал посторенний софт, и после установления появились вирусы, которые невозможно удалить через Windows defender (Трояны, и т.д).
      Суть состоит в том, что вирус добавляет в исключения, и после кнопки "Не разрешать", возвращается и этот цикл бесконечный. (Скриншот прикреплен)
      Смотрел большинство форумов, установил программу  Farbar Recovery Scan Tool, и сделал проверку ( Файлы с проверкой прикреплены)
      Жду помощи, т.к в этом мало что понимаю. 
      Спасибо!
       
       

      FRST+Addition.rar
    • От Wishnya
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит.
      CollectionLog-2020.10.21-14.46.zip
    • От Вячеслав Александрович
      Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )
      вирус
       - блокирует установку любых антивирусов
       - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.
      вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 
      -так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 
      в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 
      в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 
      так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов
      в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring
       
      ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению
      https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo
       
      если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))
       
      Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?
       
      p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%
       

       
      вирус1.zip
×
×
  • Создать...