Показано с 1 по 13 из 13.

Зашифровано FKLOCK [Trojan-Ransom.Win32.Cryakl.az ] (заявка № 170162)

  1. #1
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8

    Зашифровано FKLOCK [Trojan-Ransom.Win32.Cryakl.az ]

    Все файлы JPG, DOC, XLS, 1CD, DT, CF, DAT, HTM, BMP, GIF, PNG, TXT зашифрованы вирусом.
    Шифруется все кроме заголовка (28-32байт)
    Каталоги мусоряться текстовыми файлами "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
    Содержимое:

    ----------------------------------------------------------------------------------------------
    ВНИМАНИЕ!!!
    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
    БУДЕТ НЕВОЗМОЖНО.


    НЕ РЕКОМЕНДУЕТСЯ:
    - ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
    - ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
    - ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.


    ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
    ufsupport@meta.ua


    И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

    ------------------------------------------------------------------------------

    тирешки я сам добавил
    эти самые файлы перечисленных расширений получают после шифрования второе расширение FKLOCK
    время изменения файлов не меняется но по словам чайников зашифровка произошла 30 октября 2014
    результаты сбора AVZ и HiJack прилагаю.
    открыт только RDP, 3 админские учетки с длинными паролями использовались просвященными пользователями.
    1 учетка с несложным паролем 6 символов с правами гостя+rdp
    как это не странно, но этот сервак уже шифровался три мес назад другим шифровщиком который выдавал такие файлы "Admin.xml.id-{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}-email-100procentov123@gmail.com.cbf"
    папки windows и Program Files не шифровались вообще
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) fillip, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8
    только заметил что какая-то зараза висит еще резидентом так как при входе на http://www.kaspersky.ru/virusscanner
    выдает:

    Server Error

    Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.

    с соседнего компа заходит нормально

  6. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)
    Логи сделайте не через терминальную сессию.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. mike 1 получил(а) благодарность за это сообщение от


  8. #5
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8
    ну ппц. на том компе chrome не запускается уже.

    нашел пользователя с которого пошло заражение. его папка вся зашифрована остальных пользователей не тронуло. права гостя+rdp.

    с консоли снимаются логи дольше явно есть разница.

    - - - - -Добавлено - - - - -

    нашел откуда пошло прошлое заражение.
    кажется отсюда

    Содержимое папки C:\Users\scan\AppData\Local\Temp\RarLab

    04.11.2014 18:36 <DIR> .
    04.11.2014 18:36 <DIR> ..
    04.11.2014 18:36 0 aa
    14.07.2009 02:19 662*016 build.exe
    09.07.2014 03:03 95 winrar.tmp
    25.02.2011 08:30 489 КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

    winrar.tmp:
    {MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}
    9163454751465548606044665492

    - - - - -Добавлено - - - - -

    есть какой-то файлик скорее всего имеющий отношение к одному из шифрований.
    я его рарнул на всякий


    - - - - -Добавлено - - - - -

    на компе стояла http://webisida.com/ (

    - - - - -Добавлено - - - - -

    да еще понял что у зараженного юзера зашифровались ярлыки LNK зачем неясно... под моим пользователем пока живые.
    Вложения Вложения
    Последний раз редактировалось regist; 12.11.2014 в 13:24. Причина: для вирусов есть ссылка наверху темы.

  9. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от fillip Посмотреть сообщение
    build.exe
    запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    После этого папку C:\Users\scan\AppData\Local\Temp\RarLab можно удалять

    Вирусный файл из вложения ушел в вирлаб
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #7
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8
    кажется я могу доказать момент и способ заражения из логов windows defendera нашел:

    ************************************************** **********

    [Сб ноя 01 2014 06:30:52] Verifying engine module...
    [Сб ноя 01 2014 06:30:52] verified!
    Signature updated on Сб ноя 01 2014 06:30:53
    Product Version: 6.1.7600.16385
    Service Version: 6.1.7600.16385
    Engine Version: 1.1.11104.0
    AS Signature Version: 1.187.1007.0
    ************************************************** **********
    [Сб ноя 01 2014 06:30:53] Process scan started.
    [Сб ноя 01 2014 06:31:08] Process scan completed.
    Begin Resource Scan
    Scan ID:{2CDB616C-1ADF-4C59-BBDE-A00AC9A150EE}
    Scan Source:2
    Start Time:Сб ноя 01 2014 17:16:59
    End Time:Сб ноя 01 2014 17:17:01
    Explicit resource to scan
    Resource Schema:file
    Resource Path:\Distr1C\V8Tunes\1.exe
    Explicit resource to scan
    Resource Schema:process
    Resource Path:pid:7684
    Result Count:1
    Unknown File
    Identifier:4026852044844302334
    Number of Resources:3
    Resource Schema:process
    Resource Path:pid:7684
    Extended Info:0
    Resource Schema:process
    Resource Path:pid:7684,ProcessStart:130593250194134759
    Extended Info:0
    Resource Schema:file
    Resource Path:\Distr1C\V8Tunes\1.exe
    Extended Info:0
    End Scan
    ************************************************** **********

    а этот файлец идентичен тому из темпа который я прикладывал под именем 95b102m6wask0AQ

    - - - - -Добавлено - - - - -

    для заражения был использован ip 189.1.181.53 c порта 58272 принадлежащего бразильскому оператору кабельных сетей
    inetnum: 189.1.176/20
    asn: AS28667
    c-abusos: NIL162
    titular: NETWORK TELECOMUNICACOES LTDA EPP
    documento: 005.262.383/0001-90
    respons&#225;vel: Clayton R de Assis
    pa&#237;s: BR
    c-titular: NIL162
    c-t&#233;cnico: NIL162
    inetrev: 189.1.180/22
    servidor DNS: ns01.networktelecomunicacoes.com.br
    status DNS: 03/11/2014 AA
    &#250;ltimo AA: 03/11/2014
    servidor DNS: ns02.networktelecomunicacoes.com.br
    status DNS: 03/11/2014 AA
    &#250;ltimo AA: 03/11/2014
    criado: 06/10/2006
    alterado: 06/10/2006

    Contato (ID): NIL162
    nome: Network Informatica e Cons Ltda
    e-mail: fapesp@ntelecom.com.br
    criado: 06/09/2002
    alterado: 17/04/2014

  11. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
    Его детектирование будет включено в очередное обновление антивирусных баз.

    95b102m6wask0AQ.exe -- Trojan-Ransom.Win32.Xorist.ll
    Как скоро будет дешифровка, не смогу сказать даже приблизительно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. thyrex получил(а) благодарность за это сообщение от


  13. #9
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8
    на том бразильском компе есть 2 принтера Microsoft XPS и FAX
    когда произошел этот взлом то ему пытался помешать мой чайник. они боролись за сеанс отключая друг-друга 3 раза.
    а потом почему-то пришел я тоже по уделенке и завершил их сеанс (я редко туда захожу, сам непойму зачем я это сделал)
    поэтому сохранилась папка темпа откуда я и выцепил вирус сегодня. вобщем пока завершаю флуд.
    будем ждать результатов )

  14. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Пришлите несколько зашифрованных файлов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #11
    Priority Member Репутация
    Регистрация
    04.11.2014
    Сообщений
    11
    Вес репутации
    8
    у меня есть текстовый файл 28 байт он вообще не изменился хотя расширение поменял.
    58 байт явно пострадал в конце
    нашел живые дубликаты испорченных файлов разной величины, из-за размера могу приложить тока так https://yadi.sk/d/mxC8_5DPcVLx2

  16. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Да это можем расшифровать уже сейчас. По логам я плохого не увидел, но пароли от RDP и учетных записей поменяйте. У нас с 1 ноября расшифровка файлов идет отдельной услугой. Подробней: http://virusinfo.info/content.php?r=639-decoding
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \build.exe - Trojan-Ransom.Win32.Cryakl.az ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) fillip, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Зашифровано id-9694654994_decrypt@india.com
      От Сергей ******** в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.10.2014, 17:24
    2. Зашифровано trojan.encoder.741
      От Alexbat76 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.08.2014, 17:36
    3. Помогите узнать чем зашифровано.
      От isvet в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 30.07.2014, 09:26
    4. Зашифровано cryptolocker@aol.com
      От Nekhoch в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 20.06.2014, 20:59
    5. Зашифровано PLAGUE17
      От Shmel_74 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.05.2014, 19:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01336 seconds with 23 queries