Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровано [graff_de_malfet@protonmail.ch]

GarryGorbunov
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

По правилам имелось ввиду лог автологера вида - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
File: C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Zip: C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe;C:\Windows\System32\Windows Host Service\WindowsHostService.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)

 Сделал, как указано выше.

Изменено пользователем mike 1
Карантин в теме
GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

Загрузил карантин, как просили через форму.

SQ

SQ

Опубликовано
Опубликовано
1 час назад, GarryGorbunov сказал:

Загрузил карантин, как просили через форму.

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано (изменено)
38 минут назад, SQ сказал:

Спасибо, отправил в Вирлаб на анализ. Согласно virustotal файлы в карантине не представляют угрозы, однако хотелось бы в этом убедится.

P.S. Обычно результат будет известен в течение 2 часов, но бывают исключения.

Могли бы пожалуйста предоставить логи по правилам, т.е. лог автологгера + 2-3 зашифрованных файла в архиве zip.

 

Зашифрованные файлы в архиве и лог прикрепляю. На счет лога не уверен, если не то, скажите, как надо сделаю.

Fixlog.txt 

 

Зашифрованные файлы.zip

Изменено пользователем GarryGorbunov
SQ

SQ

Опубликовано
Опубликовано

Этот лог fixlog.txt был от предыдущего применения утилиты FRST.

 

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано

 

19 минут назад, SQ сказал:

Необходимо проверить еще следующие файлы, пожалуйста выполните следующие инструкции.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
      
    
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\assm.dat
File: C:\Windows\system32\sys.dll
Zip: C:\Windows\system32\assm.dat;C:\Windows\system32\sys.dll
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Карантин загрузил, fixlog во вложении

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

C:\Windows\system32\sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner. (Kaspersky)
Пожалуйста самостоятельно пока ничего не удаляйте. Отправил карантин в ВирЛаб для подверждения, ожидайте результат.

 

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
13 минут назад, SQ сказал:

Приложите пожалуйста таке файл злоумышлинников how_to_decrypt.hta

 

how_to_decrypt.zip

SQ

SQ

Опубликовано
Опубликовано

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

GarryGorbunov

GarryGorbunov

Опубликовано
  • Автор
Опубликовано
25 минут назад, SQ сказал:

Ожидайте пожалуйста, я отправил запрос, как что-то будет известно касаемо возможности расшифровки, я Вам сообщу.

Спасибо,буду ждать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • krasnodar123
      Вирус зашифровал файлы
      Автор krasnodar123
      Доброго времени суток! попал на шифровальщика. В результате все текстовые и фото зашифрованы. помогите кто может

      {VXYZBDDFGHIKLLNOQQSTUVWYZABCDEGHIJKM-04.03.2015 13@12@068301921} {CRYPTFULLEND}  эта гадость в Program Files (86) появилась вместе с картинкой лог.txt
    • мфв
      У нас тот же вирус Cryakl
      Автор мфв
      Добрый день!
      у нас тот же вирус если по емайлу судить
       
      систему не переставляли.
       
      к кому обратиться и какие файлы выложить? 
       
      спасибо за ответ

      упс. сейчас пытался скопировать с убитого винта папку и выдало вот что:
       

    • iCCup.Platoon
      Cryakl зашифровал файлы.
      Автор iCCup.Platoon
      Доброго времени суток.
      Небрежный начальник зашифровался критором из письма "из суда". Вероятно, со словами "чур меня" откатил волшебными способами винду к ее "девственному" состоянию (IT-шники, будь они не ладны) и тело вируса не сохранилось. Но чудом удалось сохранить зашифрованные файлы - фотки, документы 1С и т.д. Всего вайлов нашифровано 2,5 ГБайта, а так же есть зашифрованный и оригинальный пример 1-го файла (прикрепил). Все расшифровывающие утилиты не помогли.
      Через Text Compare проглядывается некая логика действия шифровальщика, значит, есть надежда...
      Очень ждем от вас помощи, а то начальник в гневе сказал "будете на Авасте у меня сидеть", чего очень не желательно.
      Заранее спасибо.
       

      IMG_20140330_155556.jpg.id-COUBIOTZEKPVAFLRWBGMRWCHNSXDJOTYEKPU-10.10.2014 11@29@304148919-email-mserbinov@onionmail.in_mserbinov@aol.com-ver-4.1.0.0.rar
    • novokyznetsk
      Зашифровал файлы расширением .cbf, watnik91@aol.com
      Автор novokyznetsk
      После получения письма (всех подробностей не знаю, пк на работе у коллеги) с адреса "Арбитражный суд
      search@arbitrage-search.com" обои рабочего стола сменились и файлы которые в момент получения письма были на пк  зашифровались расширением cbf, ниже в письме была ссылка !при открытии скачивает файл! [удалено] CollectionLog-2015.03.03-13.47.zip
    • Alexura
      Зашифрованы файлы на ПК. Стали *.cbf
      Автор Alexura
      Добрый день. На ПК  почти все файлы стали с расширением .cbf. Пробавал запускать rectordecryptor пишит что найдено 7581 файлов, рашифровано 0 . Сканировал ESET нашел 1 файл Win32/Filecoder.CQ. Как их можно расшифровать. Помогите!    

      Сканировал KVPT нашел Trojan-Ransom.Win32.Cryakl.ar
×
×
  • Создать...