Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Зашифровали файлы *.LOCKED [not-a-virus:NetTool.Win32.Wasppace.l ] (заявка № 169707)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35

    Зашифровали файлы *.LOCKED [not-a-virus:NetTool.Win32.Wasppace.l ]

    В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Cmeiiiapa, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35

    Файлы до расшифровки

    Прикрепляю файлы до расшифровки

    - - - - -Добавлено - - - - -

    Файлы после расшифровки

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!
    Велась переписка с вредителями, за 3 килорубля был получен пароль
    Зря кормите их у них достаточно кривые дешифраторы, которые в некоторых случаях могут и покалечить файлы.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\windows\srchasst\mui\wscnrfy.exe');
     TerminateProcessByName('c:\windows\system32\wmosrvse.exe');
     TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
     TerminateProcessByName('c:\windows\mui\svchost.exe');
     TerminateProcessByName('c:\windows\amsql.exe');
     TerminateProcessByName('c:\windows\system32\gptsvc.exe');
     SetServiceStart('bthserv', 4);
     StopService('bthserv');
     QuarantineFile('C:\WINDOWS\system32\cmdo.vbs','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','');
     QuarantineFile('c:\windows\srchasst\mui\wscnrfy.exe','');
     QuarantineFile('c:\windows\system32\wmosrvse.exe','');
     QuarantineFile('c:\windows\ehome\wmisrv.exe','');
     QuarantineFile('c:\windows\mui\svchost.exe','');
     QuarantineFile('c:\relaytcp10\retcpsvc.exe','');
     QuarantineFile('c:\windows\amsql.exe','');
     QuarantineFile('c:\windows\system32\gptsvc.exe','');
     DeleteFile('c:\windows\system32\gptsvc.exe','32');
     DeleteFile('c:\windows\amsql.exe','32');
     DeleteFile('c:\windows\ehome\wmisrv.exe','32');
     DeleteFile('c:\windows\system32\wmosrvse.exe','32');
     DeleteFile('c:\windows\srchasst\mui\wscnrfy.exe','32');
     DeleteFile('C:\WINDOWS\mui\svchost.exe','32');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','32');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
     DeleteService('bthserv');        
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(9);        
    end.
    Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - HKCU\..\Run: [explorer] C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. #5
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Логи

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    А третий лог где?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #7
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Я его вместо карантина отправил) сорри

    - - - - -Добавлено - - - - -

    Залил и карантин

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.84.1 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v384c
      breg
      
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO\GYXYE.EXE
      delall %SystemRoot%\JAVA\TRUSTLIB\SDPS.BAT
      delall %SystemRoot%\MICROSOFT.NET\NET.AJAX.BAT
      unload %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
      zoo %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
      delall %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
      zoo %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
      delall %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35

    новый лог


  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.84.1 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v384c
      breg
      
      unload %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
      del %SystemDrive%\DOCUMENTS AND SETTINGS\TEST\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
      delall %SystemRoot%\SRCHASST\MUI\UTP.BAT
      delall %Sys32%\DHCP\DNS.BAT
      delall %Sys32%\DRIVERS\ALT.BAT
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите сервер вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #11
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Учетка, которую (предположительно) взломали, по глупости была удалена. "Бизнесмены" прислали два шифратора и пароль

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Жалко что вы кормите этих дармоедов у нас расшифровка тоже есть. Просто выдам я ее поздней когда дочистим сервер от вирусов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #13
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Мы один раз заплатили, до обращения к вам) второй шифратор они нам выслали так, когда сказали что первый не сработал.

    - - - - -Добавлено - - - - -

    Лог

    - - - - -Добавлено - - - - -

    Архива не появилось в папке

    - - - - -Добавлено - - - - -

    новый лог uvs
    http://rghost.ru/58789904

    - - - - -Добавлено - - - - -

    Лог MBAM
    http://rghost.ru/private/58791850/e3...7df63b8ce82ad6

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в MBAM все, кроме:

    Код:
    Обнаруженные файлы:
    D:\Distrib\DameWare NT Utilities 6.8.0.1\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    D:\Distrib\Терминал под XP\TS-Free-1.1_cs.exe (PUP.Hacktool) -> Действие не было предпринято.
    D:\Users\Олег\Alcohol_120__1.9.8.7612___crack\Alcohol 120% 1.9.8.7612 + crack\Alcohol_120__v2.0.0.1331\Alcohol_120__v2.0.0.1331.exe (Trojan.Dropped) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.corporate-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.premium-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.server.enterprise-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Программы\Radmin 3.4\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
    Смените все пароли.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. #15
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Новый лог MBAM, srvany все равно удалил, хотя галку я снял

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    information

    Информация



    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Скачайте te94decrypt.exe и сохраните в корень диска С.

    В командной строке введите:
    Код:
    C:\te94decrypt.exe -k 479
    Внимание!!!
    1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

    2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались



    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. #17
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Он расшифровавывает файлы только с расширением .LOCKED?

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от Cmeiiiapa Посмотреть сообщение
    Он расшифровавывает файлы только с расширением .LOCKED?
    А что есть другие зашифрованные файлы с другим расширением?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. #19
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    44
    Вес репутации
    35
    Нет, изначально файлы базы 1С .dbf были без расширения

    - - - - -Добавлено - - - - -

    с dbf вроде разобрался - еще раз если присвоить расширение .LOCKED, то он расшифровывает до конца (по крайней мере структура файла нормальная), но база все равно не открывается. Но вот с файлами .xlsx это не проходит. Может я пришлю вам пару файлов MS Office?

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Если уже чем-то пытались расшифровать файлы, то вы могли покалечить себе файлы таким образом, что их восстановить уже наверное не получится.

    Может я пришлю вам пару файлов MS Office?
    Присылайте.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  • Уважаемый(ая) Cmeiiiapa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Зашифровали все файлы
      От Игорь2412 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.07.2014, 15:13
    2. Зашифровали файлы
      От zamza74 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.06.2014, 20:09
    3. зашифровали файлы dbf,ert
      От Виктор Артемов в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.03.2014, 22:49
    4. Зашифрованы файлы *.locked
      От gsm999 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.08.2013, 11:03
    5. Зашифрованы файлы .locked
      От daledale в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2013, 11:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00494 seconds with 19 queries