Показано с 1 по 11 из 11.

Зашифровались файлы .criptokod [not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur, HEUR:Trojan.Win32.Generic ] (заявка № 184723)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    7
    Вес репутации
    21

    Зашифровались файлы .criptokod [not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur, HEUR:Trojan.Win32.Generic ]

    Вчера вирус зашифровал почти все файлы на сервере и в каждой папке появился FILEOKKK.тхт с текстом:
    Ваши рабочие файлы закодированыстойким шифром. Пишите сюда:
    12345.asdfgh@rambler.ru

    Ссылки на зашифрованные файлы:
    https://yadi.sk/d/4a3foK0Zh43sG
    https://yadi.sk/d/A8LX_Eleh43sQ

    Windows Server 2008 R2 x64
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    341
    Уважаемый(ая) fubispb, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,245
    Вес репутации
    3015
    В логах сервера можно отследить, какой файл запускался перед появлением шифрования?

    Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('C:\Users\Администратор\AppData\Local\2DBB1E00-1433330716-11B2-8000-68B59972B695\bnsvDAF6.exe','');
     QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
     QuarantineFile('C:\Users\Администратор\appdata\roaming\aspackage\aspackage.exe','');
     QuarantineFile('C:\Users\Администратор\appdata\local\microsoft\windows\toolbar.exe','');
     QuarantineFile('D:\Gefest\Share\winlogin.exe','');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-4110605320-1994838245-1585621978-1004\Software\Microsoft\Windows\CurrentVersion\Run','Winlogon');
     DeleteFile('D:\Gefest\Share\winlogin.exe','32');
     DeleteFile('C:\Users\Администратор\appdata\local\microsoft\windows\toolbar.exe','32');
     DeleteFile('C:\Users\Администратор\appdata\roaming\aspackage\aspackage.exe','32');
     DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
     DeleteFile('C:\Users\Администратор\AppData\Local\2DBB1E00-1433330716-11B2-8000-68B59972B695\bnsvDAF6.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    7
    Вес репутации
    21
    Сделал. Перезагрузил. Какой файл запускали не нашёл... Форматнуть С: и переустановить сервер не проблема если что. Главное восстановить файлы....

    Файл сохранён как 150603_233855_перенос коллекторов.JPG.criptokod_556f57cf7c6e8.zip

    - - - - -Добавлено - - - - -

    Один добрый человек подсказал что этот вирус переносит несколько байт из начала файла в конец. Проверил Hex Editor'ом и оказалось действительно от 1 до 5 байт как я понял рандомом переносится таким образом. Спасибо за помощь, надеюсь это решение кому-то ещё поможет. Кстати вот что ответил сам злоумышленник, которому я тоже решил написать ради интереса. Он судя по тексту из Беларуси.:

    ЧТО ДЕЛАТЬ ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ

    Все просто, как Вы возможно и думали.
    Необходимо оплатить 100$ (или в рублях, или в зайчиках - все равно,
    главное, чтобы сумма была эквивалентна 100$).

    Оплату делаете на лайткоин (Litecoin, LTC) кошелек номер:

    LdcfVf4F3guR9WxZMq1vLhriAXuP5giGh8

    Это можно сделать как напрямую со своего лайткоин кошелька или
    биржи криптовалют (например btc-e.com) так и через обменник
    электронных валют, подходящий можно найти например тут:

    http://www.bestchange.ru

    Мы НЕ КОНСУЛЬТИРУЕМ по деталям проведения платежа, для
    этого есть поддержка (саппорт) на сайте биржи или обменника -
    туда и пишите, если что-то непонятно.

    ВНИМАНИЕ! ЕСЛИ ПЛАТЕЖ НЕ ПОСТУПИТ НА ПРОТЯЖЕНИИ
    2 СУТОК С МОМЕНТА ОТПРАВКИ ВАМ ЭТОГО ПИСЬМА -
    СУММА ОПЛАТЫ БУДЕТ УВЕЛИЧЕНА В 2 РАЗА, ТАК ЧТО НЕ ТЯНИТЕ.
    ФАЙЛЫ ЗАШИФРОВАНЫ СТОЙКИМ АЛГОРИТМОМ, И НИКТО
    КРОМЕ НАС ВАМ ИХ НЕ РАСШИФРУЕТ!!!

    На некоторых биржах и обменниках есть холд (задержка) обмена
    на 2-3 дня по данному направлению. Учитывайте это и не пишите
    зря - как только оплата пройдет и мы увидим ее на указанном выше
    кошельке, Вы получите все необходимое для расшифровки ваших
    файлов. Пришлем программу для расшифровки и пароль - запустите
    прогу, введете пароль - подождете несколько минут - и все файлы
    расшифруются.

    Информацию про обменники можно найти в интернете забив в поисковик:
    обменять яндекс (киви, вебмани) на лайткоин или подобрать на сайте,
    ссылка на который есть выше. Все несложно, если что непонятно - можно
    спросить у поддержки обменника. Насчет ускорения платежа - писать туда же.

    Насчет пробной расшифровки - мы этим не занимаемся, так как шифровщик
    шифрует все доступные ему файлы, и нам придется шифровать и расшифровывать
    целый компьютер вместе с Вашим файлом, если бы мы это делали для каждого кто
    просит, нам бы пришлось только этим и заниматься весь день.
    Мы не страховая компания - давать гарантии. Придется поверить на слово.

    Спасибо за внимание и не тяните с оплатой.




    asdfgh 12345.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,245
    Вес репутации
    3015
    Я не просил слать в карантин зашифрованный файл. Я просил карантин после выполнения скрипта.

    Цитата Сообщение от fubispb Посмотреть сообщение
    Один добрый человек подсказал что этот вирус переносит несколько байт из начала файла в конец. Проверил Hex Editor'ом и оказалось действительно от 1 до 5 байт как я понял рандомом переносится таким образом
    Да, именно так, но в одной из похожих тем я видел, что в jpg-файле перенесены 6 байт, а у pdf только сменилось расширение. Потому, чтобы понять механизм и нужно само тело вируса
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    7
    Вес репутации
    21
    Извиняюсь. Неправильно понял. Приложил файл с папкой карантина.
    150604_013645_Quarantine_556f736d254ec.zip

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,245
    Вес репутации
    3015
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    7
    Вес репутации
    21
    Сделал.
    Вложения Вложения
    • Тип файла: txt log.txt (5.4 Кб, 2 просмотров)

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,245
    Вес репутации
    3015
    D:\Gefest\Share\winlogin.exe - скорее всего это был файл шифровальщика. Но его в карантине нет, возможно потому, что на момент обращения осталась только запись от него в реестре.

    Удалите в МВАМ
    Код:
    Ключи реестра: 3
    PUP.Optional.ASPackage.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\ASPackage, , [8430b402d1b9ac8ae027ea0fcc37e719], 
    PUP.Optional.MultiPlug.Gen, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\lecozydy, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    PUP.Optional.MultiPlug.Gen, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\jodekezu, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    
    Параметры реестра: 4
    PUP.Optional.Zaxar.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|ZaxarLoader, "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent, , [9420377f1a70a78f9d49d7469f658d73]
    PUP.Optional.MultiPlug.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\jodekezu|ImagePath, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\jnsv37B2.tmp, , [169e96205832a690e5b61563838247b9]
    PUP.Optional.MultiPlug.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\lecozydy|ImagePath, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\nsf72A.tmpfs, , [486c73432565c472c6d37cfc887d847c]
    Trojan.Agent, HKU\S-1-5-21-4110605320-1994838245-1585621978-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Winlogon, D:\Gefest\Share\winlogin.exe, , [377d32844545bb7b121bbda846bef10f]
    
    Папки: 3
    PUP.Optional.ASPackage.A, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\ASPackage, , [8430b402d1b9ac8ae027ea0fcc37e719], 
    PUP.Optional.ASPackage.A, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage, , [b202882ed5b5de58f61224d5798a23dd], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    
    Файлы: 16
    PUP.Optional.Zaxar.A, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\Installer\ZaxarSetup.4.001.108.exe, , [e6ce922498f2b482cdfd015e44bc817f],
    PUP.SmsPay, D:\??N??µ????N??? ??N?N?????\???? ???±N??°N?\??N??µ????N??? ??N?N?????\???°??N?\Docke\Advanced_Gif_Animator_Crack.zip.exe, , [734134826e1c60d62c5d228bb34da15f], 
    PUP.Optional.ASPackage.A, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\ASPackage\Uninstall.exe, , [8430b402d1b9ac8ae027ea0fcc37e719], 
    PUP.Optional.ASPackage.A, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage\Configure.lnk, , [b202882ed5b5de58f61224d5798a23dd], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\nsf72A.tmpfs, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\jnsv37B2.tmp, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\rnsa3251.exe, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\Uninstall.exe, , [f6be2e88ee9ca78fe42fd6a4bf46916f], 
    PUP.Optional.MultiPlug.Gen, C:\Users\????????????N?N?N??°N???N?\AppData\Roaming\2DBB1E00-1433319854-11B2-8000-68B59972B695\vnsaE6DA.tmp, , [f6be2e88ee9ca78fe42fd6a4bf46916f],
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,245
    Вес репутации
    3015
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\администратор\appdata\local\microsoft\win dows\toolbar.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.MulDrop5.48096, BitDefender: Gen:Trojan.Heur2.JP.fuW@aGb5MWfi, AVAST4: Win32:Malware-gen )
      2. c:\users\администратор\appdata\roaming\aspackage\a spackage.exe - not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur ( AVAST4: Win32:Dropper-gen [Drp] )


  • Уважаемый(ая) fubispb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифровались файлы - доп расширение criptokod.
      От a_urazov в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2015, 08:49
    2. Ответов: 6
      Последнее сообщение: 13.03.2015, 17:47
    3. Ответов: 2
      Последнее сообщение: 13.11.2014, 21:50
    4. Ответов: 2
      Последнее сообщение: 31.10.2014, 17:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00991 seconds with 17 queries