buzb52 0 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 (изменено) Добрый день. Бух поймала шифровальщик который пожал часть документов типа .pdf в .zip. Документы формата doc, xls какие то в зип какие то просто открываются не пойми как. Базы 1с 8ки он оставил с тем же расширением но они не читабельны. Вроде как бы 1Сник откатил из копии не проверял. Единственное что он сделал прогнался какими то антивирусниками и удалил всё на что он орал. Лог будет пойже как комп привезут. Прикладываю скрин окна README_XXXXX.txt. Так же прикладываю сам архив с вирусом что бух скачала Акт сверки ФинАудитСервис.8hphfq.zip. Без пароля. По сайту касперского архив определяется как Trojan.Win32.TorJok.lu В архиве Выписки_шифр_файл(pass-1) пример зашифрованного файла и ещё файл .sig я так понимаю это от вируса остался. А так же прикладываю архивы с файлами ZZZ которые вирус любезно за собой удалил. Файлы ZZ подписаны по месту в каком каталоге были найдены. На остальные архивы пароль 1. Акт сверки ФинАудитСервис.8hphfq.zip Выписки_шифр_файл(pass-1).7z ZZZZZZZZZZZZZZZZZZZ(В документах).7z ZZZZZZZZZZZZZZZZZZZ(В базах).7z Изменено 12 августа, 2020 пользователем buzb52 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Здравствуйте! 30 минут назад, buzb52 сказал: скрин окна README_XXXXX.txt Сам файл тоже прикрепите. Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 (изменено) 44 минуты назад, Sandor сказал: Здравствуйте! Сам файл тоже прикрепите. Добрый день. Прикреплю после 18 часов по москве. Как привезут данный пк. Забыл написать. Файлы ZZ разные. По весу. И который был в базах он идёт как исполняемый. Изменено 12 августа, 2020 пользователем buzb52 Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Добрый вечер. Прикладываю все файлы о которых говорили ранее. Посмотрел лог каспера который стоял на этом компе и выпал в осадок. Он его типа обезвредил но всё равно вредонос продолжил работать и скачал и запустил файл AppdaterUpdate_1584554963.exe avz_log.txt avz-log-all.7z README_hppcivoph3jc.txt Лог каспера.txt Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Эта ссылка по которой можно скачать данного зловреда... Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Может расскажите нам как так получилось, что установлена 17 версия антивируса, которая я думаю уже снята с поддержки? + Выполните правила Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Данный пк не входит в мои обязанности. До сегодняшнего дня я даже не знал об его существовании. на нём стоял ещё аваст который я ушатал. т.к. ос нормально не загружалась. Причёсывать его буду после восстановления справедливости. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Нам для первичной диагностики необходимы логи FRST. Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Добавил FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 августа, 2020 Share Опубликовано 13 августа, 2020 Расшифровки этого вымогателя нет. Систему будем чистить от мусора или планируете переустановку? Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 13 августа, 2020 Автор Share Опубликовано 13 августа, 2020 Наверное пока чистить. Как я заметил в папке юзера куда он извлекается на вин10 он создаёт 2 ключа. только не понял до конца это ключи генерации тора или ключи для шифрования файлов на пк. как я понял он эти ключи отправляет на сервер хозяина. только вопрос если это те ключи, то на сколько они уникальны. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 13 августа, 2020 Share Опубликовано 13 августа, 2020 Видны следы бывшей установки Kaspersky Internet Security 17.0.0 Нужно удалить с помощью утилиты в безопасном режиме. Антивирус оставьте один, остальные удалите: Цитата Loaris Trojan Remover 3.0.92 Malwarebytes, версия 3.8.3.2965 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {847388af-e433-11e9-8642-806e6f6e6963} - "E:\start.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9416fa65-b36b-11e9-85e4-3497f6e0391d} - "E:\start.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9642f342-cd70-11ea-8825-3497f6e0391d} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {f0eab5bb-b15a-11e9-85da-3497f6e0391d} - "E:\start.exe" FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {8E0047D9-6193-4D4F-848B-33865834B8FE} - \Optimize Start Menu Cache Files-S-1-5-21-1354578399-3504242563-3297069971-1001 -> No File <==== ATTENTION Task: {E458E2EC-6A75-4596-B958-52B360F3ED46} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software) CHR NewTab: Default -> Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html" C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\adipnhhjfmoehhkepljbifddkobenooa ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
kvet 0 Опубликовано 12 января, 2022 Share Опубликовано 12 января, 2022 Всем привет! Кто знает, удалось ли найти лекарство от этого шифровальщика? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 12 января, 2022 Share Опубликовано 12 января, 2022 @kvet, здравствуйте! Не нужно влезать в чужую тему. Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи Тут закрыто. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения