Показано с 1 по 15 из 15.

Шифровальщик файлов deshifrovka01@gmail.com или deshifrovka@india.com .XTBL [Trojan.Win32.Agent.ammcn ] (заявка № 174494)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12

    Шифровальщик файлов deshifrovka01@gmail.com или deshifrovka@india.com .XTBL [Trojan.Win32.Agent.ammcn ]

    Сервер под управлением Windows Server 2003 Standard, есть белый IP на одном из интерфейсов, включена служба RDP. Произошло заражение, наиболее вероятно через уязвимость в протоколе RDP, а 7 января 2015 произошло шифрование многих файлов на данном сервере, базы 1C не затронуты. Во многих папках лежат файлы с именем README*.txt (вместо * цифра), на втором разделе 10 шт, содержимое файлов одинаковое:


    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    2A5C403D2F3D443B382B|0
    на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.




    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    2A5C403D2F3D443B382B|0
    to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    Как я понял из аналогичных тем, вирус шифрует файлы, а затем сам себя удаляет, оставив прощальную записку. Вскоре после обнаружения (пользователи успели немного поработать) я отключил все сетевые интерфейсы, а после сделал снимок виртуальной машины. После этого создал файлы-логи. Если следов зловреда обнаружить не удастся, есть ли шанс найти вирус, если пройтись по дискам программой восстановления удаленных файлов?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) alterato, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
     TerminateProcessByName('c:\intel\web\microsoft\services.exe');
     TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
     TerminateProcessByName('c:\windows\temp\de50.tmp');
     QuarantineFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','');
     QuarantineFile('C:\RECYCLER\winlogon.exe','');
     QuarantineFile('C:\Program Files\Company\gupdate\gupdate.exe','');
     QuarantineFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KPLJVACB\7[1].exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\88888102\svvhost.exe','');
     QuarantineFile('C:\DOCUME~1\smelaya\LOCALS~1\Temp\9\RarSFX5\raidcall.exe','');
     QuarantineFile('C:\Intel\Web\Microsoft\xStarter\services.exe','');
     QuarantineFile('C:\WINDOWS\system\system32\svchost.exe','');
     QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
     QuarantineFile('c:\intel\web\microsoft\services.exe','');
     QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
     QuarantineFile('c:\windows\temp\de50.tmp','');
     DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
     DeleteFile('c:\intel\web\microsoft\services.exe','32');
     DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
     DeleteFile('C:\WINDOWS\system\system32\svchost.exe','32');
     DeleteFile('C:\Intel\Web\Microsoft\xStarter\services.exe','32');
     DeleteFile('C:\DOCUME~1\smelaya\LOCALS~1\Temp\9\RarSFX5\raidcall.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\88888102\svvhost.exe','32');
     DeleteFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KPLJVACB\7[1].exe','32');
     DeleteFile('C:\RECYCLER\winlogon.exe','32');
     DeleteFile('C:\WINDOWS\TEMP\DE50.tmp','32');
     DeleteFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RaidCall','command');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyApp','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Shell22');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Shell22');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winlogon.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
     DeleteService('xStarter');
     DeleteService('UniInet');  
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(9);    
    end.
    Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O2 - BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - (no file)
    O3 - Toolbar: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - (no file)
    O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\WINDOWS\TEMP\DE50.tmp"
    O4 - HKLM\..\Policies\Explorer\Run: [Update] C:\WINDOWS\system32\stub.exe
    O4 - HKLM\..\Policies\Explorer\Run: [winlogon.exe] C:\RECYCLER\winlogon.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Готово, карантин также загружен
    Вложения Вложения

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.85 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v385c
      breg
      
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\88888102\SVVHOST.EXE
      delall %SystemDrive%\RECYCLER\WINLOGON.EXE
      zoo %SystemRoot%\ADFS\CTFMON.EXE
      delall %SystemRoot%\ADFS\CTFMON.EXE
      delall %Sys32%\STUB.EXE
      delall %SystemDrive%\PROGRAM FILES\COMPANY\GUPDATE\GUPDATE.EXE
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Готово
    Вложения Вложения

  10. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKU\S-1-5-18\...\Run: [] => [X]
      SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=611&systemid=406&v=a12627-140&apn_uid=3026329193814123&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-1460270309-579201681-1479435844-500 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=611&systemid=406&v=a12627-140&apn_uid=3026329193814123&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
      Folder: C:\Documents and Settings\All Users\Application Data\Windows
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  11. #8
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Лог во вложении
    Вложения Вложения

  12. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  13. #10
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Готово, непредусмотрительно оставленный включенным NOD32 Smart Security при попытке загрузить файл удалил его.

  14. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Логи в порядке. С расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  15. #12
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Заплатили вымогателям 2000 руб через QIWI, прислали программу для дешифровки и ключ. Файлы были успешно расшифрованы.

  16. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Это еще немного попросили.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  17. #14
    Junior Member Репутация
    Регистрация
    12.01.2015
    Сообщений
    9
    Вес репутации
    12
    Главное, что не кинули. Вчера еще у одного клиента данные зашифровались, но тут проще было - зашифровались только документы, плюс ко всему были бэкапы.

  18. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. \csrss.exe - Trojan.Win32.Agent.ammcn ( BitDefender: Gen:Trojan.Heur.WmKfXGERo5gc, AVAST4: Win32:Malware-gen )
      2. c:\windows\temp\de50.tmp - Trojan.Win32.Agent.ammcn ( BitDefender: Gen:Trojan.Heur.WmKfXGERo5gc, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) alterato, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. deshifrovka01@gmail.com
      От артём фонарёв в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.01.2015, 11:52
    2. зашифрованны данные deshifrovka01@gmail.com или deshifrovka@india.com
      От Бикетова Анна в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 31.12.2014, 12:12
    3. Шифровальщик файлов id-8879344836_decrypt@india.com
      От Voroncov в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.11.2014, 19:24
    4. Шифровальщик файлов от base1c1c1c@gmail.com
      От Kupava в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.10.2014, 18:02
    5. Шифровальщик файлов от deskr1000@gmail.com
      От Voroncov в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 09.09.2014, 16:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00414 seconds with 17 queries