-
Junior Member
- Вес репутации
- 52
Шифровальщик reg.id-{815F73E7}_repairfiles365@gmail_com [Trojan-Ransom.MSIL.Agent.wm
]
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) kot488, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 52
Первый зашифрованный файл в 10:53
-
Без тела шифровальщика даже предположить что-то невозможно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Без тела шифровальщика даже предположить что-то невозможно
Смотрю сейчас Shadow Explorer, в 13:55 сегодня на робочем столе еще нет файла "КАК РАСШИФРОВАТЬ ФАЙЛЫ" а на рабочем столе показывает что он создан 11.04.2016 р., 13:40:52.
в это время приблизительно была запущенка установка 1С 8.3 и ломалка ее
Что еще интересное нашел, запустил р-студио. полез в одну папку и вот что там вижу, файл удален, файл создан с расширением и файл зашифрован
Сцуко, опять запустился, nod32 тупо нечего не увидел. В диспетчере задач есть процес gpg.exe и keygen.exe ив описании GRUcrypt
Последний раз редактировалось kot488; 11.04.2016 в 21:14.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('d:\install\!totalcmd\keygen.exe');
QuarantineFile('d:\install\!totalcmd\keygen.exe','');
TerminateProcessByName('C:\Users\brovaru\AppData\Local\Temp\gpg.exe');
QuarantineFile('C:\Users\brovaru\AppData\Local\Temp\gpg.exe','');
DeleteFile('C:\Users\brovaru\AppData\Local\Temp\gpg.exe','32');
DeleteFile('d:\install\!totalcmd\keygen.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин залил, вот новые логи
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Еще идет скан, вот что нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
- - - - -Добавлено - - - - -
Логи
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
- - - - -Добавлено - - - - -
Это что-то совсем новое https://www.virustotal.com/ru/file/e...is/1460477045/
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Вот что еще нашел
есть файл secring.gpg но он нолевой. Поднимал эту же тему на ноде, можете почитать что там ответили, тоже говорят новое что то.
1.zip то что было создано перед началом шифрования.
А вот походу то что шифровало, или остатки от него. Залил на ex.ua так как сюда обьем не позволяет, пароль infected, очкую на живом ПК открывать и изменять пароль.
Я правильно понял, только два антивира нашло подозрение в этом файле?
В архиве infected, пасс тоже test.zip , файл один и тот же, только востановленый, в формате gpg и уже зашифрованный
Просканировал, логи прикрепил
Последний раз редактировалось kot488; 12.04.2016 в 21:56.
-
Лог FRST.txt неполный. Переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Переделал
- - - - -Добавлено - - - - -
не смотрели логи?
-
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
AlternateDataStreams: C:\Windows\system32\akshhl29.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\akshsp51.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\aksllmtp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\aksusb3.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\hasplms.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wuapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wuapp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wuauclt.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wuaueng.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wucltux.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wudriver.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wups.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wups2.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\wuwebv.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\aksclass.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\akshasp.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\akshhl.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\aksusb.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\eamonm.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\edevmon.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\ehdrv.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\epfw.sys:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\epfwwfp.sys:$CmdTcID [130]
AlternateDataStreams: C:\Users\office:id [66]
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Это для лечения или для расшифровки?
-
Это зачистка мусора.
Приватный ключ, нужный для расшифровки, есть только у злодея.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- d:\install\!totalcmd\keygen.exe - Trojan-Ransom.MSIL.Agent.wm
-