xmrlocker Словил XMRLocker

16 апреля, 2021

Собственно поймал шифровальщик XMRLocker. Для расшифровки могу предоставить сами зашифрованные файлы, так и оригинальные которые лежали на внешнем хранилище. На момент "шифрования" никакой лицензии Касперского не было.

16 апреля, 2021

Здравствуйте!

Порядок оформления запроса о помощи

16 апреля, 2021

Спасибо за ответ. Файла самоFiles.zipго шифровальщика нет, впрочем и письма от злоумышленников. Система не переустанавливалась, но перегружалась.

FRST_16-04-2021 10.22.55.txt

16 апреля, 2021

1 час назад, Владимир_ADR сказал:

На момент "шифрования" никакой лицензии Касперского не было

А сейчас уже есть?

Если да, можете создать запрос на расшифровку. По нашим данным (не ЛК) вымогатель пока в стадии изучения.

В предоставленных логах не хватает файла Addition.txt, добавьте, т.к. вредонос пока активен в системе, надо чистить.

16 апреля, 2021

Лицензию куплю. Надежда на расшифровку есть?

По поводу лицензии, подойдёт любая?

Addition_16-04-2021 10.22.55.txt

Изменено 16 апреля, 2021 пользователем Владимир_ADR
добавление

16 апреля, 2021

Не хочу вас обнадеживать, скорее всего расшифровки не будет.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {11d45374-8113-11e9-9acf-704d7b85edc8} - G:\AutoRun.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f8e6-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f91a-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {5ea29cf6-fc53-11e8-9d7f-704d7b85edc8} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef269-a26e-11ea-8ec1-704d7b85edc8} - E:\AltiumDesigner19Setup.exe
HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef26c-a26e-11ea-8ec1-704d7b85edc8} - F:\AltiumDesigner19Setup.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {34036994-D677-406C-ACAF-B65FF6900058} - System32\Tasks\Jq3mCog5 => C:\ProgramData\XMRLocker.exe <==== ВНИМАНИЕ
C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\ProgramData\XMRLocker.exe
AlternateDataStreams: C:\Users\Vladimir:Index [148]
AlternateDataStreams: C:\Users\Vladimir\Application Data:1 [148]
AlternateDataStreams: C:\Users\Vladimir\AppData\Roaming:1 [148]
BHO: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
BHO-x32: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
FirewallRules: [{4AC6B387-8433-423B-A809-514542D8E00A}] => (Allow) C:\Program Files (x86)\Remote Utilities - Host\rutserv.exe => Нет файла
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

16 апреля, 2021

Fixlog

Fixlog_16-04-2021 12.26.25.txt

16 апреля, 2021

Если был открыт доступ через удаленный рабочий стол (RDP), закройте или смените пароль.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

16 апреля, 2021

SecurityCheck

SecurityCheck.txt

16 апреля, 2021

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.16540 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
PuTTY release 0.71 (64-bit) v.0.71.0.0 Внимание! Скачать обновления
Oracle VM VirtualBox 6.0.12 v.6.0.12 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.7.7.1 Внимание! Скачать обновления
Wireshark 3.4.3 64-bit v.3.4.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45704 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.2.2.5.1 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
The Bat! v4.1.9 Русская Версия v.4.1.9.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
web control version 3.0.5.1 v.3.0.5.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
C:\Users\Vladimir\AppData\Roaming\ACEStream\engine\ace_engine.exe v.3.1.8.0

Хотфиксы постарайтесь установить все.

Читайте Рекомендации после удаления вредоносного ПО

16 апреля, 2021

После попытки установить обновления (конкретно KB4474419), система упала совсем, при запуске пишет, что не хватает файла hal.dll и код ошибки (точно не помню). Пишу уже с другого ПК.

16 апреля, 2021

В среду восстановления попасть можете? Если да, пробуйте откатиться на предыдущую точку восстановления.

16 апреля, 2021

Попытка откатиться не помогает, ошибку выдаёт ту-же (нет или повреждён hal.dll).

16 апреля, 2021

7 часов назад, Sandor сказал:

В среду восстановления попасть можете?

Вы не ответили. Как именно пробовали откатиться, из какого режима?

16 апреля, 2021

Дальше не идет. (безопасные режимы тоже не работают)

Изменено 16 апреля, 2021 пользователем Владимир_ADR

xmrlocker Словил XMRLocker

Рекомендуемые сообщения

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Sandor

Владимир_ADR

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum