Перейти к содержанию

Рекомендуемые сообщения

Собственно поймал шифровальщик XMRLocker. Для расшифровки могу предоставить сами зашифрованные файлы, так и оригинальные которые лежали на внешнем хранилище. На момент "шифрования" никакой лицензии Касперского не было.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо за ответ. Файла самоFiles.zipго шифровальщика нет, впрочем и письма от злоумышленников. Система не переустанавливалась, но перегружалась.

FRST_16-04-2021 10.22.55.txt

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Владимир_ADR сказал:

На момент "шифрования" никакой лицензии Касперского не было

А сейчас уже есть?

Если да, можете создать запрос на расшифровку. По нашим данным (не ЛК) вымогатель пока в стадии изучения.

 

В предоставленных логах не хватает файла Addition.txt, добавьте, т.к. вредонос пока активен в системе, надо чистить.

Ссылка на сообщение
Поделиться на другие сайты

Лицензию куплю. Надежда на расшифровку есть?

По поводу лицензии, подойдёт любая?

 

Addition_16-04-2021 10.22.55.txt

Изменено пользователем Владимир_ADR
добавление
Ссылка на сообщение
Поделиться на другие сайты

Не хочу вас обнадеживать, скорее всего расшифровки не будет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: G - G:\AutoRun.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {11d45374-8113-11e9-9acf-704d7b85edc8} - G:\AutoRun.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f8e6-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f91a-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {5ea29cf6-fc53-11e8-9d7f-704d7b85edc8} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef269-a26e-11ea-8ec1-704d7b85edc8} - E:\AltiumDesigner19Setup.exe
    HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef26c-a26e-11ea-8ec1-704d7b85edc8} - F:\AltiumDesigner19Setup.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {34036994-D677-406C-ACAF-B65FF6900058} - System32\Tasks\Jq3mCog5 => C:\ProgramData\XMRLocker.exe <==== ВНИМАНИЕ
    C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\ProgramData\XMRLocker.exe
    AlternateDataStreams: C:\Users\Vladimir:Index [148]
    AlternateDataStreams: C:\Users\Vladimir\Application Data:1 [148]
    AlternateDataStreams: C:\Users\Vladimir\AppData\Roaming:1 [148]
    BHO: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
    BHO-x32: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
    FirewallRules: [{4AC6B387-8433-423B-A809-514542D8E00A}] => (Allow) C:\Program Files (x86)\Remote Utilities - Host\rutserv.exe => Нет файла
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если был открыт доступ через удаленный рабочий стол (RDP), закройте или смените пароль.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.16540 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
PuTTY release 0.71 (64-bit) v.0.71.0.0 Внимание! Скачать обновления
Oracle VM VirtualBox 6.0.12 v.6.0.12 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.7.7.1 Внимание! Скачать обновления
Wireshark 3.4.3 64-bit v.3.4.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45704 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.2.2.5.1 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
The Bat! v4.1.9 Русская Версия v.4.1.9.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
web control version 3.0.5.1 v.3.0.5.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
C:\Users\Vladimir\AppData\Roaming\ACEStream\engine\ace_engine.exe v.3.1.8.0
 

 

Хотфиксы постарайтесь установить все.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

После попытки установить обновления (конкретно KB4474419), система упала совсем, при запуске пишет, что не хватает файла hal.dll и код ошибки (точно не помню). Пишу уже с другого ПК.

Ссылка на сообщение
Поделиться на другие сайты

В среду восстановления попасть можете? Если да, пробуйте откатиться на предыдущую точку восстановления.

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Sandor сказал:

В среду восстановления попасть можете?

Вы не ответили. Как именно пробовали откатиться, из какого режима?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От makcsab
      Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом 😬 (это уже исправили)
      Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
      Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
      Прошу помощи в удалении возможных остатков этой заразы.
       
      FRST.txt Shortcut.txt Addition.txt
    • От Феоктистов Артем
      Доброго дня, сегодня обнаружили зашифрованные файлы, посмотрите пожалуйста можно ли расшифровать.
       
      Addition.txt FRST.txt зашифрованные.zip
    • От RCAV
      Добрый день!
       
      Прошу помощи в расшифровке файлов.
      Напал XMRLocker.
      Зашифровались в основном jpeg, doc, pdf.
      Прикладываю как в инструкции необходимые файлы, а также сохраненные оригинальные копии зашифрованных pdf - архив OriginalDocs.rar.
      Addition_19-08-2020 14.46.38.txt CryptedDocs_And_Readme.rar FRST_19-08-2020 14.46.38.txt OriginalDocs.rar
    • От Qualtum
      Сотрудник случайно подцепил вирус через интернет (без понятия каким образом). Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. На рабочем компьютере пропали все файлы в папках (папки не пропали). На сервере все файлы зашифровались с расширением xmrlocker. Файлы на компьютерах,которые были подключены по локальной сети - тоже зашифровались. К теме прикрепил файл с логами пк,где нет файлов в папках. Файл с логами сервера,где все файлы зашифрованы. Файл zip с файлом шифрования и ReadMe. 
       
      Нашел несколько сайтов,где хоть как-то обсуждают шифровщик xmrlocker:
      1.  https://id-ransomware.blogspot.com/2020/08/xmrlocker-ransomware.html
      2. https://sensorstechforum.com/xmrlocker-virus-remove/
       
       
      Зашифрованный файл и ReadMe.zip Лог с сервера.zip Лог с пк .zip
    • От klastercomp
      Всем доброго времени суток. На компьютере зашифровались все файлы картинок и документов(png, pdf, jpg, doc, xls и т.п.), что было причиной не понятно, компьютером пользуются несколько человек, говорят ничего опасного не скачивали. Прикладываю архив с логом, пару зашифрованных файлов, не зашифрованный файл и письмо от вымогателя. Если возможно, помогите расшифровать.
       
      data.zip
×
×
  • Создать...