Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровано [graff_de_malfet@protonmail.ch]

GarryGorbunov
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

По правилам имелось ввиду лог автологера вида - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
File: C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Zip: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe;C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)

 Сделал, как указано выше.

Изменено пользователем mike 1
Карантин в теме
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

Загрузил карантин, как просили через форму.

SQ

SQ

Опубликовано
Опубликовано
1 час назад, GarryGorbunov сказал:

Загрузил карантин, как просили через форму.

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)
38 минут назад, SQ сказал:

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Зашифрованные файлы в архиве и лог прикрепляю. На счет лога не уверен, если не то, скажите, как надо сделаю.

Fixlog.txt 

 

Зашифрованные файлы.zip

Изменено пользователем GarryGorbunov
SQ

SQ

Опубликовано
Опубликовано

Этот лог fixlog.txt был от предыдущего применения утилиты FRST.

 

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

 

19 минут назад, SQ сказал:

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Карантин загрузил, fixlog во вложении

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

C:\Windows\system32\sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner. (Kaspersky)
Пожалуйста самостоятельно пока ничего не удаляйте. Отправил карантин в ВирЛаб для подверждения, ожидайте результат.

 

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
13 минут назад, SQ сказал:

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

 

how_to_decrypt.zip

SQ

SQ

Опубликовано
Опубликовано

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
25 минут назад, SQ сказал:

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

Спасибо,буду ждать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexura
      Зашифрованы файлы на ПК. Стали *.cbf
      Автор Alexura
      Добрый день. На ПК  почти все файлы стали с расширением .cbf. Пробавал запускать rectordecryptor пишит что найдено 7581 файлов, рашифровано 0 . Сканировал ESET нашел 1 файл Win32/Filecoder.CQ. Как их можно расшифровать. Помогите!    

      Сканировал KVPT нашел Trojan-Ransom.Win32.Cryakl.ar
    • sunhill
      Перекодирование файлов
      Автор sunhill
      Доброго времени суток, случилась беда, прислали письмо счастья от "судебных приставов", в итоге все файлы перекодировались, получилась такая штуковина
      log15.7z
    • Raisovruslan
      шифратор mserbinov@aol.com-ver-6.1.0.0.b
      Автор Raisovruslan
      Все файлы на компьютере расширением JPG, DOCX, XLSX зашифрованы, на расширение CBF
      CollectionLog-2015.02.11-12.58.zip
    • streben
      Файлы зашифрованы с именем email-dalai.lama2057@gmail.com
      Автор streben
      Добрый день!
      на сервер попал вирус-шифровальщик и зашифровал все файлы с именем email-dalai.lama2057@gmail.com...зараженный файл.rar
      админ почистил сервер от вируса. возможно ли теперь расшифровать зараженный файл с базой данных? 
    • himan83gr
      Вирус зашифровал файлы vpupkin3@aol.com
      Автор himan83gr
      Здравствуйте,
      После зашифровки вирусом, много файлов особино типа *.xlsx , *.docx а так же база 1с,  приобрели имя файла
      "email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-LNPQTUVXYABCUWYZACDEGHJKMNOHJJLNOPRS-15.11.2016 5@07@003246740@@@@@E02B-A3A6.randomname-DFFGHHIIJKKLBCCDDEEEFFGHHIIIJZ.ABB"
      Попробывал расшифровать с помощью rectordecryptor, xoristdecryptor и rannohdecryptor. Не помогло. Проверил на вирусы с virus removal от kaspersky а так же с cureIt от Dr.Web. Все чисто. Логи утилити autologger прикрепляю как указанно в инструкции. Так же прикрепляю пару зашифрованных файлов с readme от мошеников . Спасибо за помощь и поддержку!
      CollectionLog-2016.11.16-10.54.zip
      vpupkin3@aol.comEncryptedFiles.zip
×
×
  • Создать...