Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте,

По правилам имелось ввиду лог автологера вида - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
    File: C:\Windows\System32\Windows Host Service\WindowsHostService.exe
    Zip: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe;C:\Windows\System32\Windows Host Service\WindowsHostService.exe
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, GarryGorbunov сказал:

Загрузил карантин, как просили через форму.

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Ссылка на сообщение
Поделиться на другие сайты
38 минут назад, SQ сказал:

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Зашифрованные файлы в архиве и лог прикрепляю. На счет лога не уверен, если не то, скажите, как надо сделаю.

Fixlog.txt 

 

Зашифрованные файлы.zip

Изменено пользователем GarryGorbunov
Ссылка на сообщение
Поделиться на другие сайты

Этот лог fixlog.txt был от предыдущего применения утилиты FRST.

 

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Windows\system32\assm.dat
    File: C:\Windows\system32\sys.dll
    Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

 

19 минут назад, SQ сказал:

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
     
    
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Windows\system32\assm.dat
    File: C:\Windows\system32\sys.dll
    Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Карантин загрузил, fixlog во вложении

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

C:\Windows\system32\sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner. (Kaspersky)
Пожалуйста самостоятельно пока ничего не удаляйте.
Отправил карантин в ВирЛаб для подверждения, ожидайте результат.

 

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, SQ сказал:

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

Спасибо,буду ждать.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Алексей321
      Добрый день. По RDP зашифровали файлы, вроде как почитав форум, похоже 1.9.0.0 (или так хочется думать), но возможно ошибаюсь, возможно ли помочь с расшифровкой, система не переустанавливалась, Заранее благодарен
      logs.zip crypted.zip
    • От alxbit
      Здравствуйте,

      значит, что делать в такой ситуации,
      как я понял, у пользователя учетные данные были  скомпрометированы,
      потом,
      подключились под ограниченными правами данного пользователя с правами пользователь,
      загрузили файлы,
      и произвели блокировку его рабочего стола.

      Теперь файлы, к которым имел пользователь доступ,
      они зашифровались, я так понял по информации файлов,
      это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом flydragon@mailfence.com,
      который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[flydragon@mailfence.com][sel4ru].[3E2730A7-21C21601]",
      и некоторые файлы имеют  с расширение .cfl

      Я как авторизированный пользователь корпоративного антивируса,
      могу получить рекомендации по данному вирусу?

      так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

      Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
      с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

      Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
      При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

      Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

      Как можно решить вопрос с дешифрации с помощью специалистов ?



    • От kuranow
      Прошу помочь в расшифровке данных.
      Зашифрованы файлы документов.
      В расширении добавлено [darkmask@mailfence.com][fervis].[98252B9E-3FE98E00]
      В каждой папке появился файл how_to_decrypt.hta
      Удалось найти оригинальные, не зашифрованные файлы. Возможно это поможет.
      Заранее благодарен за помощь.
       
      Files.rar
    • От Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip зашифрованный файл.zip  файл от бэкапа зашифрованный.zip
    • От Денис Горенку
      Добрый день!
      14.08.2020 были зашифрованы файлы на компьютере. О проблеме узнал сегодня утром. В расширении файлов появилась надпись [reddragon000@protonmail.ch][sel4]. 
      Просканировал систему при помощи Farbar Recovery Scan Tool, файлы отчёта ниже.
      Addition.txt FRST.txt
×
×
  • Создать...