Показано с 1 по 9 из 9.

Очередной шифровальщик suppfirecrypt@qq.com [Trojan-Ransom.Win32.Crusis.to] (заявка № 220899)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2018
    Сообщений
    4
    Вес репутации
    4

    Thumbs up Очередной шифровальщик suppfirecrypt@qq.com [Trojan-Ransom.Win32.Crusis.to]

    Зашифрован сервер с базами данных. Что то новенькое, судя по всему. По такому имейлу ничего не нашёл в гуглах. Сам шифровальщик отловить не удалось, отработал где то в сети. Бэкапы, как водится в подобных ситуациях, делались на этот же диск. Понимаю, что расшифровать, скорее всего не выйдет, но хотя бы помогите вычистить остатки от паразита в системе.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,315
    Вес репутации
    354
    Уважаемый(ая) Zlishkin, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,339
    Вес репутации
    923
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-B686F822.[suppfirecrypt@qq.com].fire', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
     QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\exIorer.exe', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-B686F822.[suppfirecrypt@qq.com].fire', '32');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe', '32');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
     DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\exIorer.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-B686F822.[suppfirecrypt@qq.com].fire', '32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe', '32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
     DeleteFile('C:\Windows\System32\Info.hta', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    end.
    Перезагрузите сервер.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    19.11.2018
    Сообщений
    4
    Вес репутации
    4
    Готово!

    - - - - -Добавлено - - - - -

    Прошу прощения, ФРСТ логи сделаны до перезагрузки после выполнения скрипта АВЗ. Переделал.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,339
    Вес репутации
    923
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    HKLM\...\Run: [exIorer.exe] => C:\Windows\System32\exIorer.exe [94720 2018-11-18] ()
    Startup: C:\Users\User01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe [2018-11-18] ()
    2018-11-18 19:48 - 2018-11-18 20:47 - 000094720 _____ C:\Windows\system32\exIorer.exe
    C:\Users\User01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exIorer.exe
    2018-11-18 19:59 - 2018-11-18 19:59 - 000094720 _____ () C:\Users\Администратор\AppData\Roaming\exIorer.exe
    2018-11-18 20:05 - 2018-11-18 20:05 - 000007860 _____ () C:\Users\Администратор\AppData\Local\Resmon.ResmonCfg.id-B686F822.[suppfirecrypt@qq.com].fire
    2018-11-18 20:07 - 2018-11-18 20:49 - 000000174 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
    2018-11-18 20:07 - 2018-11-18 20:49 - 000000174 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2018-11-18 20:07 - 2018-11-18 20:49 - 000000174 _____ C:\FILES ENCRYPTED.txt
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Если хотите заодно удалить и все зашифрованные файлы на диске C: - примените fixlist.txt из вложения.
    fixlist.txt

    User00 (S-1-5-21-1696512292-1227432056-4282843073-1028 - Administrator - Enabled) => C:\Users\User00
    User01 (S-1-5-21-1696512292-1227432056-4282843073-1006 - Administrator - Enabled) => C:\Users\User01
    User02 (S-1-5-21-1696512292-1227432056-4282843073-1007 - Administrator - Enabled)
    User03 (S-1-5-21-1696512292-1227432056-4282843073-1009 - Administrator - Enabled) => C:\Users\User03
    User04 (S-1-5-21-1696512292-1227432056-4282843073-1008 - Administrator - Enabled) => C:\Users\User04
    User05 (S-1-5-21-1696512292-1227432056-4282843073-1010 - Administrator - Enabled) => C:\Users\User05
    User06 (S-1-5-21-1696512292-1227432056-4282843073-1022 - Limited - Enabled)
    User07 (S-1-5-21-1696512292-1227432056-4282843073-1023 - Administrator - Enabled)
    User08 (S-1-5-21-1696512292-1227432056-4282843073-1024 - Limited - Enabled)
    User09 (S-1-5-21-1696512292-1227432056-4282843073-1025 - Limited - Enabled)
    User10 (S-1-5-21-1696512292-1227432056-4282843073-1026 - Limited - Enabled)
    User11 (S-1-5-21-1696512292-1227432056-4282843073-1027 - Administrator - Enabled) => C:\Users\User11
    User12 (S-1-5-21-1696512292-1227432056-4282843073-1029 - Administrator - Enabled) => C:\Users\User12
    User14 (S-1-5-21-1696512292-1227432056-4282843073-1030 - Administrator - Enabled)
    User15 (S-1-5-21-1696512292-1227432056-4282843073-1031 - Administrator - Enabled) => C:\Users\User15
    User16 (S-1-5-21-1696512292-1227432056-4282843073-1032 - Administrator - Enabled) => C:\Users\User16
    User17 (S-1-5-21-1696512292-1227432056-4282843073-1033 - Administrator - Enabled) => C:\Users\User17
    User18 (S-1-5-21-1696512292-1227432056-4282843073-1035 - Administrator - Enabled) => C:\Users\User18
    User19 (S-1-5-21-1696512292-1227432056-4282843073-1034 - Administrator - Enabled) => C:\Users\User19
    Virtualbox (S-1-5-21-1696512292-1227432056-4282843073-1011 - Administrator - Enabled) => C:\Users\Virtualbox
    Администратор (S-1-5-21-1696512292-1227432056-4282843073-500 - Administrator - Enabled) => C:\Users\Администратор
    Гость (S-1-5-21-1696512292-1227432056-4282843073-501 - Limited - Disabled)
    Касса1 (S-1-5-21-1696512292-1227432056-4282843073-1020 - Administrator - Enabled) => C:\Users\Касса1
    Касса2 (S-1-5-21-1696512292-1227432056-4282843073-1021 - Administrator - Enabled) => C:\Users\Касса2
    Все пользователи - администраторы
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    19.11.2018
    Сообщений
    4
    Вес репутации
    4
    Вот.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,339
    Вес репутации
    923
    Шифровальщик зачистили.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    19.11.2018
    Сообщений
    4
    Вес репутации
    4
    Спасибо за помощь. Систему решил переустановить. С шифрованием повылетало много системых файлов. Сервер работал некорректно. Тему можно закрывать.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    960

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 7
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\programdata\microsoft\windows\start menu\programs\startup=
        \exiorer.exe - Trojan-Ransom.Win32.Crusis.to ( BitDefender: Ge=
        n:Trojan.Heur.FU.fmW@aaAaGKm, AVAST4: Win32:Malware-gen )
      2. c:\users\all users\start menu\programs\startup\exiorer.exe -=
        Trojan-Ransom.Win32.Crusis.to ( BitDefender: Gen:Trojan.Heur.F=
        U.fmW@aaAaGKm, AVAST4: Win32:Malware-gen )
      3. c:\users\=E0=E4=EC=E8=ED=E8=F1=F2=F0=E0=F2=EE=F0\a ppdata\roami=
        ng\microsoft\windows\start menu\programs\startup\exiorer.exe - [=
        B]Trojan-Ransom.Win32.Crusis.to[/B] ( BitDefender: Gen:Trojan.Heur.FU.=
        fmW@aaAaGKm, AVAST4: Win32:Malware-gen )

  • Уважаемый(ая) Zlishkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.11.2018, 22:17
    2. Карантин 4C88AD740156AD70F7042DA8939B50E2 [Trojan-Ransom.Win32.Crusis.crv]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 21.09.2018, 16:41
    3. Вирус Ransom Crysis [Trojan-Ransom.Win32.Crusis.to ]
      От Ghostek в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 14.07.2018, 16:31
    4. Ответов: 7
      Последнее сообщение: 19.12.2017, 18:48
    5. Расшифровка Trojan-Ransom.Win32.Crusis
      От AlekseyNV в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.03.2017, 23:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00949 seconds with 17 queries