Перейти к содержанию

Поймал шифровальщика 2021-04-23

DimmON77
 Share Подписчики 2

Рекомендуемые сообщения

DimmON77

DimmON77 0

Опубликовано
Опубликовано

Здравствуйте.

Поймал шифровальщика на рабочем компьютере (если не ошибаюсь, это произошло 2021-04-23).

Как только увидел зашифрованные файлы в рабочей папке - сразу выключил компьютер.

Логи Farbar Recovery Scan Tool были сделаны когда компьютер загружен с флешки с windows pe. 

Очень надеюсь на помочь в расшифровке.Лог Farbar Recovery Scan Tool и зашифрованные файлы.7z

Ссылка на сообщение
Поделиться на другие сайты
DimmON77

DimmON77 0

Опубликовано
  • Автор
Опубликовано

Спасибо! Очень жаль ((

Нет, я пока надеюсь, что ОС живая.

Зашифрованные файлы вижу только в двух каталогах.

Сканировал диск eset и cureit - ничего не нашли.

Планирую попробовать сейчас загрузиться с родной ОС.

 

Ссылка на сообщение
Поделиться на другие сайты
DimmON77

DimmON77 0

Опубликовано
  • Автор
Опубликовано

Подскажите еще, пожалуйста... зашифрованные файлы не несут угрозы в себе? Т.е. вирус сам себя не прописывает каким-то образом в зашифрованный файл? Можно их оставить до лучших времен (если вдруг появится утилита для расшифровки) или лучше всех их удалить? Файлы how_to_decrypt.hta является угрозой - в них нет вируса, или лучше их сразу все удалить?

Каким образом этот вирус мог попасть в систему? Восстановил в памяти все действия, которые я делал перед началом активации вируса - ничего потенциально опасного... я очень педантичен в плане вирусной безопасности, первый вирус пойманный мной за 10 лет... не понимаю как я мог его поймать...

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 906

Опубликовано
Опубликовано
1 час назад, DimmON77 сказал:

Планирую попробовать сейчас загрузиться с родной ОС

Соберите логи Farbar из нормального режима и прикрепите к следующему сообщению.

 

3 минуты назад, DimmON77 сказал:

зашифрованные файлы не несут угрозы в себе?

Нет.

3 минуты назад, DimmON77 сказал:

Файлы how_to_decrypt.hta является угрозой - в них нет вируса

Нет, можно удалить, но раз планируете отложить зашифрованные файлы, то и один из этих тоже отложите.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 906

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1708537768-1935655697-1957994488-1342\...\MountPoints2: {1d522b5b-a1a4-11eb-873d-5cf9dd3e212e} - F:\TP-LINK_Gigabit_Ethernet_USB_Adapter.exe
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\AlexGro\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\DmitBal.SPIK\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\igorfil\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Ivanov_I_I\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FF user.js: detected! => C:\Users\DmitBal.SPIK\AppData\Roaming\Mozilla\Firefox\Profiles\vqol2sz4.default\user.js [2013-10-17]
AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:jiFElRyEWFtu0YjLAbr [2470]
AlternateDataStreams: C:\ProgramData\Microsoft:L83L1pRxzqd5swv4tPdd30aNxbJo [2394]
AlternateDataStreams: C:\ProgramData\Microsoft:oaGJC7AteBLwY3kANl [2368]
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В Брандмауэре прописано большое количество разрешающих правил на разные порты. Настраивали самостоятельно?

Ссылка на сообщение
Поделиться на другие сайты
DimmON77

DimmON77 0

Опубликовано
  • Автор
Опубликовано

Сделал. Лог прикрепляю.

Брэндмаур, да сам настраивал - открытость нужна по работе... Думаете атака была по сети? Администраторы говорят кроме меня никто не пострадал в компании...

Fixlog.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 906

Опубликовано
Опубликовано
9 минут назад, DimmON77 сказал:

открытость нужна по работе

Это понятно. Только там слишком много портов открыто, перепроверьте.

Да, скорее всего по сети. Меняйте пароли на RDP (и нужно прятать за VPN) и на админские учётные записи.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 906

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.29.2.2 v.2.29.2.2 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
LibreOffice 6.1.3.2 v.6.1.3.2 Внимание! Скачать обновления
Oracle VM VirtualBox 6.0.4 v.6.0.4 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118 Внимание! Скачать обновления
Node.js v.10.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code v.1.39.2 Внимание! Скачать обновления
Microsoft OneDrive v.21.052.0314.0001 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Access database engine 2007 (English) v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR archiver Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 21 (64-bit) v.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-x64.exe).
Java SE Development Kit 7 Update 21 (64-bit) v.1.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-16_windows-x64_bin.exe).
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 9.3.0 (64-bit) v.9.3.0 Внимание! Скачать обновления
AIMP v.v4.70.2242, 01.02.2021 Внимание! Скачать обновления
K-Lite Mega Codec Pack 9.3.0 v.9.3.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 84.0.2 (x64 en-US) v.84.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
MyFreeCodec Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • PavelRevenko
      Шифровальщик VietnamPav
      От PavelRevenko
      Просьба помочь в расшифровке.
      Пользовательские файлы, документы\фото, текстовые файлы, БД 1С были переименованы, названия хаотичные, расширение .encrypted
      в каждой из папок файл с данными о выкупе .hta
      Исполняемого файла не обнаружил, по логам отрабатывал ночью. После система восстанавливалась тк сервер рабочий.
      Архив с  файлами зашифрованными (и оригинальные), а также файл с письмом о выкупе прилагаю. Отчет FRST64 в том же архиве 
      kaspersky.rar
    • TwinAlex
      Вирус зашифровал файлы с расширением [p1gansta1p@aol.com].GanP
      От TwinAlex
      Доброго времени суток!
      У клиента шифровальщик заразил и зашифровал сервер W2012R2

      БД 1С и рабочие файлы стали выглядеть вот так:
      B3BFA73A1802.id-78F8AEAB.[p1gansta1p@aol.com].GanP

      В аттаче письмо с адресами для "выкупа" и пара зашифрованных файлов для анализа..

      Кто-нибудь сталкивался с такой заразой?
      Сможете помочь советом или алгоритмом?
      FILES ENCRYPTED.txt шифровано.zip
    • PavelWRC
      Файлы, помещенные в архив с паролем
      От PavelWRC
      Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q
      Addition.txt FRST.txt Образцы и файл с требованиями.rar
    • sho_f
      Помощь с шифровальщиком
      От sho_f
      Добрый день!
      Были зашифрованы все файлы, можно как-то помочь?
      Зашифрованные файлы и логи во вложении.
      пример.7z
    • Дмитрий1979
      Поймали шифровальщика на сервере
      От Дмитрий1979
      Здравствуйте, помогите с расшифровкой данных 
      Addition.txt FRST.txt
×
×
  • Создать...