Добрый день. Словил шифровальщика! Лог в приложении. Пожалуйста помогите если это возможно!
Готов что-то оплатить при необходимости
Printable View
Добрый день. Словил шифровальщика! Лог в приложении. Пожалуйста помогите если это возможно!
Готов что-то оплатить при необходимости
Уважаемый(ая) [B]big-ban[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Упакуйте несколько зашифрованных файлов и записку о выкупе в архив и приложите к сообщению.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\big ban\appdata\local\sql.exe');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '');
QuarantineFile('c:\users\big ban\appdata\local\sql.exe', '');
QuarantineFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[D88F942E-3352].[[email protected]].SHTORM', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '64');
DeleteFile('c:\users\big ban\appdata\local\sql.exe', '');
DeleteFile('C:\Users\BIG BAN\AppData\Local\sql.exe', '32');
DeleteFile('C:\Users\BIG BAN\AppData\Local\sql.exe', '64');
DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[D88F942E-3352].[[email protected]].SHTORM', '64');
DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '');
DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sql', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sql', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Где будете продолжать, здесь, или на SZ?
С понедельника займусь этим….спасибо за ответ
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Тут и на SZ это одно и то же ? Прикольно :) давайте здесь тогда
В принципе, одни и те же люди и там и тут, и рекомендации будут те же.
Так что либо выполните запрошенное на SZ, либо напишите там, чтоб тему закрыли.
есть смысл предоставлять оригинал зашифрованного файла ? резервные копии некоторых бесполезных файлов у меня сохранились ))
Только что пытался сделать то что вы просили, но вирус еще активен и каждый раз когда я вставляю флешку с программой или скриптом он все это шифрует. Я могу как-то остановить вирус и только потом снимать логи и запускать скрипты ?
после запуска скрипта я получаю синий экран
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[url]https://www.virustotal.com/gui/file/ac499b42f186a7325f1c88e67afb74a968724c7f763d08cf42136a68fc060b8d?nocache=1[/url]
[quote="big-ban;1527700"]после запуска скрипта я получаю синий экран[/quote]
попробуйте его выполнить из безопасного режима. Возможно активный вирус сопротивляется.
вроде получилось..... тут еще умные люди по советовали на этом сайте проверить вирус. вот результат проверки
[url]https://www.virustotal.com/gui/file/ac499b42f186a7325f1c88e67afb74a968724c7f763d08cf42136a68fc060b8d[/url]
сказали что расшифровки не существует :(
[b]big-ban[/b], как выше написал мой коллега и там и тут одни и те же люди отвечают. Так что всё написанное в той теме тоже видел, даже раньше чем прочитал здесь ))).
А скрипт нужен как раз чтобы оставить шифровальщик. Лог выполнения скрипта вы не прикрепили.
И на всякий случай соберите свежие логи, чтобы убедиться, что ничего не осталось.
Такой лог ? а то что-то я запутался.
[URL]https://disk.yandex.ru/d/CbUZnA8wTlQFUA[/URL]
[URL]https://disk.yandex.ru/d/nYlvyjAq_mtCXg[/URL] тут зашифрованые файлы и сообщение о выкупе
[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]
еще будут указания *) ?
у меня там из ценного базы firebird...я все диски сохранил так что если даже через год появиться лечение то есть интерес расшифровать
Активного шифровальщика нет, но зашифрованы в т. ч. и исполняемые файлы, систему проще переустановить.
Как зашифровали. есть понимание, не по RDP?
Пока не переустановили систему, [url="https://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
может и по RDP. На каждом компьютере был настроен RDP. Я бы и сам хотел узнать как проник вирус. На роутере порт 3389 у меня не проброшен, я использовал для этого какой-то порт в диапазоне от 30000 до 60000... ну и по локалке можно было с одного компа попасть в другой по RDP не вводя логин и пароль так как система их помнила...естественно учетные записи админа на каждом компе были одинаковые и пароль к ним...для удобства так сказать ;))
Сделайте архив журналов событий скриптом, как просил, может, ясность будет.
Но открытый RDP даже на нестандартном порту очень быстро найдут сканом и начнут брутфорсом подбирать пароль. Поэтому удалённый доступ - только через VPN, в крайнем случае - по белым спискам ip адресов и подсетей, но не каждый домашний роутер такое может.
Я сейчас настроил встроеный брандмауэр виндовс чтобы он разрешал подключения по RDP тодько с определенных IP адресов....проверил - работает(с адреса который не входит в список разрешенных не пускает). Это поможет от взлома ? Или эти "черти" и это обойти могут ?
Архив журнала событий чуть позже сделаю. Я уже снял диски с той машины и положил их "на хранение"...систему поднял на новых дисках так что прийдется найти время чтобы опять поменять диски для получения нужной информации
[QUOTE=big-ban;1527745]Это поможет от взлома ? Или эти "черти" и это обойти могут ?[/QUOTE]
Поможет.
[url]https://disk.yandex.ru/d/2s5HDsd5jst7uA[/url] ссылка на Events c одного компа
[url]https://disk.yandex.ru/d/G_QJC_WSOz018w[/url] ссылка на Events c другого компа
интересно кто нулевой пациент ?? это можно понять вообще ?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Vvvyg;1527731]Сделайте архив журналов событий скриптом, как просил, может, ясность будет.
Но открытый RDP даже на нестандартном порту очень быстро найдут сканом и начнут брутфорсом подбирать пароль. Поэтому удалённый доступ - только через VPN, в крайнем случае - по белым спискам ip адресов и подсетей, но не каждый домашний роутер такое может.[/QUOTE]
на VPNе клиент или сервер ?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Джентельмены, а как тепеть мне мониторить и где интересоваться не появилась ли возможность расшифровки моих данных ? Мало ли... вдруг через пару лет что-то появиться..
[QUOTE=big-ban;1527770][url]https://disk.yandex.ru/d/2s5HDsd5jst7uA[/url] ссылка на Events c одного компа
интересно кто нулевой пациент ?? это можно понять вообще ?[/QUOTE]
По событиям с этого - ничего криминального.
[QUOTE=big-ban;1527770]на VPNе клиент или сервер ?[/QUOTE]
Сервер на маршрутизаторе, в идеале.
[QUOTE=big-ban;1527770]Джентельмены, а как тепеть мне мониторить и где интересоваться не появилась ли возможность расшифровки моих данных ? Мало ли... вдруг через пару лет что-то появиться..[/QUOTE]
Разновидность Phobos, расширение SHTORM. Гуглить периодически, спрашивать здесь или на SZ.