-
Junior Member
- Вес репутации
- 16
После работы шифровальщика файлы с расширением Monkey865qqZ
Добрый день!
Была атака вируса-шифровальщика. Зашифровались все файлы, имеют расширение Monkey865qqZ и записка о выкупе на адрес [email protected]
Логи собрать на данный момент не могу (не имею доступа), но остался сервер с следами вируса, не перезагруженный, боимся, что перезагрузим и больше не загрузится ОС, логи могу собрать завтра.
Есть ли возможность расшифровки?
Обращались с запросом в Доктор Веб, те сказали, что пока без вариантов.
Сказали, что вирус Trojan.Encoder.28773
Могу прикрепить файл зашифрованный и его начальное состояние до зашифровки.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) [email protected], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Зашифрованный файл и записку с требованием выкупа пришлите.
-
-
Junior Member
- Вес репутации
- 16
Сообщение от
mike 1
Зашифрованный файл и записку с требованием выкупа пришлите.
https://yadi.sk/d/qYogSs17sBqobQ
разместила в облаке. Записка, только фото, она представлена в exe файле, если будет нужна попробую как нибудь доставить для исследования. Также поместила и исходник одного файла, который удалось найти.
Так же поместила фото тех программ, что удалось найти сразу как обнаружилась атака.
-
Перезагрузка при сканировании не нужна будет.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 16
Спасибо, что помогаете.
Логи пришлю завтра утром.
Нет возможности в данный момент снять показания.
-
Junior Member
- Вес репутации
- 16
Сообщение от
mike 1
Перезагрузка при сканировании не нужна будет.
Скачайте
Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Добрый день!
Под окном настроек опции Driver MD5 не было.
Логи, полученные прилагаем.
re.zip
-
Junior Member
- Вес репутации
- 16
Не совсем поняла как прикреплять файлы. Вроде все сделала правильно, но сообщение не появилось, возможно идет проверка.
Продублировала на облачный диск.
https://yadi.sk/d/RmaJeInX6_uq4w
В опциях окна не было Drivers MD5.
-
Смените все пароли.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Запустите FRST от имени Администратора.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Folder: C:\Users\Administrator
- Запустите FRST и нажмите один раз на кнопку Fix и подождите (может занять длительное время). Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
-
-
Junior Member
- Вес репутации
- 16
Сервер изолирован и оставлен для разбирательств. Пароли менять смысла нет. Ему не дадут доступ в сеть.
Нас интересовал вопрос, возможно ли вернуть файлы, хотя бы те, что мы выслали ранее?
Подскажите, по логам, что Вы прочли?
-
Нас интересовал вопрос, возможно ли вернуть файлы, хотя бы те, что мы выслали ранее?
На данный момент нет. У Вас похоже свежая модификация этого https://www.bleepingcomputer.com/for...support-topic/ локера
Подскажите, по логам, что Вы прочли?
По логам видно, что заражение было 29 декабря примерно в 18:10. Еще видно, что искали другие уязвимые сервера/компьютеры в локальной сети.
Последний раз редактировалось mike 1; 04.01.2020 в 13:44.
-
-
Junior Member
- Вес репутации
- 16
Спасибо Вам за помощь. Дальше думаю мы сами.
-
Если исполняемый файл самого шифровальщика найдете, то пришлите или загрузите сюда https://www.hybrid-analysis.com/
-
-
Junior Member
- Вес репутации
- 16
Добрый день!
Загружаю в анализатор, но он крутит и вроде как не загружает, подожду немного, могу прислать в карантин.
-
Упакуйте тогда в zip архив с паролем virus и загрузите по красной ссылке вверху темы. Имя архиву задайте только не в кириллице.
-
-
Junior Member
- Вес репутации
- 16
Загружено.
- - - - -Добавлено - - - - -
Прошу прощения, поторопилась с первым файлом, перепутала архив, удалите его. Загрузила второй с телом вируса.
-
-
-
Junior Member
- Вес репутации
- 16
Добрый день!
Может быть поможет все зашифрованные файлы имеют в конце одинаковое количество символов.
https://yadi.sk/d/kUKBMFGV55G4qw
Нашла еще файл оригинальный, он не содержит добавленных строк.
-
=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 0
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
-