buzb52 0 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 (изменено) Добрый день. Бух поймала шифровальщик который пожал часть документов типа .pdf в .zip. Документы формата doc, xls какие то в зип какие то просто открываются не пойми как. Базы 1с 8ки он оставил с тем же расширением но они не читабельны. Вроде как бы 1Сник откатил из копии не проверял. Единственное что он сделал прогнался какими то антивирусниками и удалил всё на что он орал. Лог будет пойже как комп привезут. Прикладываю скрин окна README_XXXXX.txt. Так же прикладываю сам архив с вирусом что бух скачала Акт сверки ФинАудитСервис.8hphfq.zip. Без пароля. По сайту касперского архив определяется как Trojan.Win32.TorJok.lu В архиве Выписки_шифр_файл(pass-1) пример зашифрованного файла и ещё файл .sig я так понимаю это от вируса остался. А так же прикладываю архивы с файлами ZZZ которые вирус любезно за собой удалил. Файлы ZZ подписаны по месту в каком каталоге были найдены. На остальные архивы пароль 1. Акт сверки ФинАудитСервис.8hphfq.zip Выписки_шифр_файл(pass-1).7z ZZZZZZZZZZZZZZZZZZZ(В документах).7z ZZZZZZZZZZZZZZZZZZZ(В базах).7z Изменено 12 августа, 2020 пользователем buzb52 Ссылка на сообщение Поделиться на другие сайты
Sandor 1034 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Здравствуйте! 30 минут назад, buzb52 сказал: скрин окна README_XXXXX.txt Сам файл тоже прикрепите. Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 (изменено) 44 минуты назад, Sandor сказал: Здравствуйте! Сам файл тоже прикрепите. Добрый день. Прикреплю после 18 часов по москве. Как привезут данный пк. Забыл написать. Файлы ZZ разные. По весу. И который был в базах он идёт как исполняемый. Изменено 12 августа, 2020 пользователем buzb52 Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Добрый вечер. Прикладываю все файлы о которых говорили ранее. Посмотрел лог каспера который стоял на этом компе и выпал в осадок. Он его типа обезвредил но всё равно вредонос продолжил работать и скачал и запустил файл AppdaterUpdate_1584554963.exe avz_log.txt avz-log-all.7z README_hppcivoph3jc.txt Лог каспера.txt Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Эта ссылка по которой можно скачать данного зловреда... Ссылка на сообщение Поделиться на другие сайты
mike 1 1010 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Может расскажите нам как так получилось, что установлена 17 версия антивируса, которая я думаю уже снята с поддержки? + Выполните правила Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Данный пк не входит в мои обязанности. До сегодняшнего дня я даже не знал об его существовании. на нём стоял ещё аваст который я ушатал. т.к. ос нормально не загружалась. Причёсывать его буду после восстановления справедливости. Ссылка на сообщение Поделиться на другие сайты
mike 1 1010 Опубликовано 12 августа, 2020 Share Опубликовано 12 августа, 2020 Нам для первичной диагностики необходимы логи FRST. Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 12 августа, 2020 Автор Share Опубликовано 12 августа, 2020 Добавил FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1034 Опубликовано 13 августа, 2020 Share Опубликовано 13 августа, 2020 Расшифровки этого вымогателя нет. Систему будем чистить от мусора или планируете переустановку? Ссылка на сообщение Поделиться на другие сайты
buzb52 0 Опубликовано 13 августа, 2020 Автор Share Опубликовано 13 августа, 2020 Наверное пока чистить. Как я заметил в папке юзера куда он извлекается на вин10 он создаёт 2 ключа. только не понял до конца это ключи генерации тора или ключи для шифрования файлов на пк. как я понял он эти ключи отправляет на сервер хозяина. только вопрос если это те ключи, то на сколько они уникальны. Ссылка на сообщение Поделиться на другие сайты
Sandor 1034 Опубликовано 13 августа, 2020 Share Опубликовано 13 августа, 2020 Видны следы бывшей установки Kaspersky Internet Security 17.0.0 Нужно удалить с помощью утилиты в безопасном режиме. Антивирус оставьте один, остальные удалите: Цитата Loaris Trojan Remover 3.0.92 Malwarebytes, версия 3.8.3.2965 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {847388af-e433-11e9-8642-806e6f6e6963} - "E:\start.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9416fa65-b36b-11e9-85e4-3497f6e0391d} - "E:\start.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9642f342-cd70-11ea-8825-3497f6e0391d} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {f0eab5bb-b15a-11e9-85da-3497f6e0391d} - "E:\start.exe" FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {8E0047D9-6193-4D4F-848B-33865834B8FE} - \Optimize Start Menu Cache Files-S-1-5-21-1354578399-3504242563-3297069971-1001 -> No File <==== ATTENTION Task: {E458E2EC-6A75-4596-B958-52B360F3ED46} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software) CHR NewTab: Default -> Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html" C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\adipnhhjfmoehhkepljbifddkobenooa ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
kvet 0 Опубликовано 12 января Share Опубликовано 12 января Всем привет! Кто знает, удалось ли найти лекарство от этого шифровальщика? Ссылка на сообщение Поделиться на другие сайты
Sandor 1034 Опубликовано 12 января Share Опубликовано 12 января @kvet, здравствуйте! Не нужно влезать в чужую тему. Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи Тут закрыто. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения