Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

пришел ответ от ВирЛаба:

 

sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner
assm.dat - HEUR:Trojan-Downloader.MSIL.Miner.gen
Windows Update Service.exe - not-a-virus:RiskTool.Win32.BitMiner.gen
MicrosoftAgentService.exe - HEUR:Trojan.MSIL.Starter.gen

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    R2 Microsoft Agent Service; C:\Windows\system32\Microsoft Agent Service\MicrosoftAgentService.exe [11776 2020-04-18] () [File not signed]
    R2 Windows Host Service; C:\Windows\system32\Windows Host Service\WindowsHostService.exe [12800 2020-04-18] () [File not signed]
    FF Plugin HKU\S-1-5-21-89793648-2917968068-3212671060-1001: @skbkontur.ru/diagplugin -> C:\Users\Бухгалтер\AppData\Local\SkbKontur\DiagPlugin\3.0.23.207\npapikd.dll [No File]
    Folder: C:\Users\Бухгалтер\AppData\Local\CrashDumps
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Downloads\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Documents\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Desktop\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Downloads\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Documents\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Downloads\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Documents\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Desktop\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\how_to_decrypt.hta
    2020-06-08 01:12 - 2020-06-08 01:12 - 000007355 _____ C:\Users\how_to_decrypt.hta
    () [File not signed] C:\Windows\System32\Windows Host Service\WindowsHostService.exe
    () [File not signed] C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
    2020-05-18 22:36 - 2020-06-08 12:30 - 000034816 _____ () C:\Windows\system32\assm.dat
    2020-05-18 22:35 - 2020-05-18 22:35 - 001956046 _____ C:\Windows\system32\sys.dll
    Folder: C:\Windows\system32\Windows Host Service
    Folder: C:\Windows\System32\Microsoft Agent Service
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers1_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers4_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers5_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Maks Crane
      Автор Maks Crane
      Добрый день
      В 2016 году был пойман вирус шифровальщик - все банально - было открыто какое то письмо и осуществлен переход по ссылке.
      Оригинал письма был удален, восстановить нет возможности.
       
      По всем описаниям (имя файла, тип заражаемого файла) подходит под Crayckl 1.2 (скриншот во вложении)
      Названия файла соответствуют маске email-<...>.ver-<...>.id-<...>.randomname-<...>.<CBF> 
       
      Сканирование на предмет наличия вируса ничего не дало. Возможно был удален ранее.
      Скриншотов или иных файлов с требованиями также не имею в наличии.

      У всех расширение CBF. Пытаюсь лечить так: загружаюсь с Live Flash, зараженный диск подключается как второстепенный (с него загрузки не происходит).
      Ни RakhniDecryptor, ни Rannoh Decryptor (этот требует оригинального, незараженного файла, которого увы нет) 
       

    • alxbit
      Автор alxbit
      Здравствуйте,

      значит, что делать в такой ситуации,
      как я понял, у пользователя учетные данные были  скомпрометированы,
      потом,
      подключились под ограниченными правами данного пользователя с правами пользователь,
      загрузили файлы,
      и произвели блокировку его рабочего стола.

      Теперь файлы, к которым имел пользователь доступ,
      они зашифровались, я так понял по информации файлов,
      это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом flydragon@mailfence.com,
      который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[flydragon@mailfence.com][sel4ru].[3E2730A7-21C21601]",
      и некоторые файлы имеют  с расширение .cfl

      Я как авторизированный пользователь корпоративного антивируса,
      могу получить рекомендации по данному вирусу?

      так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

      Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
      с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

      Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
      При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

      Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

      Как можно решить вопрос с дешифрации с помощью специалистов ?



    • AtamZzz
      Автор AtamZzz
      Помогите расшифровать.
      gr.rar сам шифровальщик - пароль virus
      второй собственно сам файл.
      IMG_1674.JPG[graff_de_malfet@protonmail.ch][123].rar gr.rar
    • wo-wo
      Автор wo-wo
      Здравствуйте! Словил вирус-шифровальщик CryLock 1.9.2.1. Как я понял по темам форума, это последняя версия вируса, и он в данный момент не поддается расшифровке.

      Поможет ли как-то сама программа шифрования в расшифровке файлов? 

      Я нашел ее среди остальных программ, которые использовали злодеи. Возможно я просто им помешал закончить шифрование своего ПК, убив процессы Desktop Lockera и самого шифровальщика.  Судя по настройкам программы, там есть пункт Автоудаление после завершения процесса шифрования. И у большинства жертв не остается этого exe-шника. 

       
      Я попробовал его запустить на тестовой машине, он действительно шифрует выбранные вами файлы. При запуске выдается уникальный HID его нельзя изменить. Worker ID также нельзя изменить.  HID меняется при переустановки системы.  Также эта программа создает в конце во всех папках файл how-to-decrypt.   Если программу запустить дважды. Зашифрует все еще раз повторно. И у файлов будет длинное название повторяющееся *.docx[reddragon000@protonmail.ch][sel2].[32DC4F0D-836CA3AE].[reddragon000@protonmail.ch][sel2].[32DC4F0D-836CA3AE] 

      Также я здесь на форуме нашел декриптор graf_de_malfet  с двумя этапами, от другой версии шифровальщика, и попробовал ею расшифровать. Он пишет при поиске ключа, что old version. И не находит в зашифрованном файле ключ.  Ну соответственно без ключа не работает сам декриптор. 

      Может возможно как-то декомпилирвоать шифровальщик 1.9.2.1 и вытащить из него данные, и заменить этими данными в декрипторе graf_de_malfet. Чтобы получить рабочую версию декриптора. 

       



    • val1988
      Автор val1988
      Здравствуйте нарыл тело этого шивровальщика, может кто сможет помочь в востановлеении данных. С бекапов часть вытащил а свежие походу в ауте.
      Шифровальщик Cryakl 1.9.2.1
×
×
  • Создать...