Добрый день. Словил шифровальщика! Лог в приложении. Пожалуйста помогите если это возможно!
Готов что-то оплатить при необходимости
Добрый день. Словил шифровальщика! Лог в приложении. Пожалуйста помогите если это возможно!
Готов что-то оплатить при необходимости
Последний раз редактировалось big-ban; 21.04.2023 в 15:17.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) big-ban, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Упакуйте несколько зашифрованных файлов и записку о выкупе в архив и приложите к сообщению.
- - - - -Добавлено - - - - -
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\big ban\appdata\local\sql.exe'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', ''); QuarantineFile('c:\users\big ban\appdata\local\sql.exe', ''); QuarantineFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[D88F942E-3352].[[email protected]].SHTORM', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '64'); DeleteFile('c:\users\big ban\appdata\local\sql.exe', ''); DeleteFile('C:\Users\BIG BAN\AppData\Local\sql.exe', '32'); DeleteFile('C:\Users\BIG BAN\AppData\Local\sql.exe', '64'); DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[D88F942E-3352].[[email protected]].SHTORM', '64'); DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', ''); DeleteFile('C:\Users\BIG BAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sql', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sql', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
- - - - -Добавлено - - - - -
Где будете продолжать, здесь, или на SZ?
WBR,
Vadim
С понедельника займусь этим….спасибо за ответ
- - - - -Добавлено - - - - -
Тут и на SZ это одно и то же ? Прикольнодавайте здесь тогда
В принципе, одни и те же люди и там и тут, и рекомендации будут те же.
Так что либо выполните запрошенное на SZ, либо напишите там, чтоб тему закрыли.
WBR,
Vadim
есть смысл предоставлять оригинал зашифрованного файла ? резервные копии некоторых бесполезных файлов у меня сохранились ))
Только что пытался сделать то что вы просили, но вирус еще активен и каждый раз когда я вставляю флешку с программой или скриптом он все это шифрует. Я могу как-то остановить вирус и только потом снимать логи и запускать скрипты ?
после запуска скрипта я получаю синий экран
- - - - -Добавлено - - - - -
https://www.virustotal.com/gui/file/...0b8d?nocache=1
Последний раз редактировалось big-ban; 22.04.2023 в 17:49.
попробуйте его выполнить из безопасного режима. Возможно активный вирус сопротивляется.Сообщение от big-ban
вроде получилось..... тут еще умные люди по советовали на этом сайте проверить вирус. вот результат проверки
https://www.virustotal.com/gui/file/...136a68fc060b8d
сказали что расшифровки не существует
big-ban, как выше написал мой коллега и там и тут одни и те же люди отвечают. Так что всё написанное в той теме тоже видел, даже раньше чем прочитал здесь ))).
А скрипт нужен как раз чтобы оставить шифровальщик. Лог выполнения скрипта вы не прикрепили.
И на всякий случай соберите свежие логи, чтобы убедиться, что ничего не осталось.
Такой лог ? а то что-то я запутался.
https://disk.yandex.ru/d/CbUZnA8wTlQFUA
https://disk.yandex.ru/d/nYlvyjAq_mtCXg тут зашифрованые файлы и сообщение о выкупе
- - - - -Добавлено - - - - -
еще будут указания *) ?
у меня там из ценного базы firebird...я все диски сохранил так что если даже через год появиться лечение то есть интерес расшифровать
Активного шифровальщика нет, но зашифрованы в т. ч. и исполняемые файлы, систему проще переустановить.
Как зашифровали. есть понимание, не по RDP?
Пока не переустановили систему, выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.Код:begin ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false); ExitAVZ; end.
WBR,
Vadim
может и по RDP. На каждом компьютере был настроен RDP. Я бы и сам хотел узнать как проник вирус. На роутере порт 3389 у меня не проброшен, я использовал для этого какой-то порт в диапазоне от 30000 до 60000... ну и по локалке можно было с одного компа попасть в другой по RDP не вводя логин и пароль так как система их помнила...естественно учетные записи админа на каждом компе были одинаковые и пароль к ним...для удобства так сказать)
Сделайте архив журналов событий скриптом, как просил, может, ясность будет.
Но открытый RDP даже на нестандартном порту очень быстро найдут сканом и начнут брутфорсом подбирать пароль. Поэтому удалённый доступ - только через VPN, в крайнем случае - по белым спискам ip адресов и подсетей, но не каждый домашний роутер такое может.
WBR,
Vadim
Я сейчас настроил встроеный брандмауэр виндовс чтобы он разрешал подключения по RDP тодько с определенных IP адресов....проверил - работает(с адреса который не входит в список разрешенных не пускает). Это поможет от взлома ? Или эти "черти" и это обойти могут ?
Архив журнала событий чуть позже сделаю. Я уже снял диски с той машины и положил их "на хранение"...систему поднял на новых дисках так что прийдется найти время чтобы опять поменять диски для получения нужной информации
Поможет.
WBR,
Vadim
https://disk.yandex.ru/d/2s5HDsd5jst7uA ссылка на Events c одного компа
https://disk.yandex.ru/d/G_QJC_WSOz018w ссылка на Events c другого компа
интересно кто нулевой пациент ?? это можно понять вообще ?
- - - - -Добавлено - - - - -
на VPNе клиент или сервер ?
- - - - -Добавлено - - - - -
Джентельмены, а как тепеть мне мониторить и где интересоваться не появилась ли возможность расшифровки моих данных ? Мало ли... вдруг через пару лет что-то появиться..
Последний раз редактировалось big-ban; 28.04.2023 в 17:39.
По событиям с этого - ничего криминального.
Сервер на маршрутизаторе, в идеале.
Разновидность Phobos, расширение SHTORM. Гуглить периодически, спрашивать здесь или на SZ.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
