Показано с 1 по 9 из 9.

Поймал шифровальщик WannaCash, прошу о помощи. (заявка № 225366)

  1. #1
    Junior Member Репутация
    Регистрация
    19.07.2020
    Сообщений
    4
    Вес репутации
    14

    Поймал шифровальщик WannaCash, прошу о помощи.

    Сегодня искал ключи на Nod32, скачал с Яндекс.Диска архив 1.zip. Открыл текстовый документ, изменился фон рабочего стола на белый с текстом:
    ! ВНИМАНИЕ !
    Файлов зашифровано 25734
    Время : 19.07.2020 13:52:36
    ID : 97947425 | 17
    Почта 1 : [email protected]
    Почта 2 : [email protected]

    Файлы зашифрованные имеют на иконке просто белый лист и подобные названия:
    Файл [IMG_5853.jpg] зашифрован. Пиши. [ Почта [email protected] ] .WANNACASH NCOV v170720

    Прикрепил по инструкции
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) NamVig, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    19.07.2020
    Сообщений
    4
    Вес репутации
    14
    Всё сделал, прикрепил
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Шифровали под пользователем Алексей, а логи сделаны в учетке Илья. Тут только мусор.

    1. Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-37632821-4186348916-232857434-1000\...\Run: [Илья] => explorer.exe hxxp://dipladoks.org <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {047252FC-B967-486B-908F-11C2D1BA59AC} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
    Task: {139D7FF1-B779-437A-B2F3-CA5CE8D40B6E} - System32\Tasks\{494EF4CE-925D-404D-B3E0-315502E002D0} => C:\Windows\system32\pcalua.exe -a C:\Users\75BD~1\AppData\Local\Temp\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ATTENTION
    Task: {153F18AA-9A7F-4CDF-8ADE-2F1156E73F70} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Task: {27B127F1-33DA-41C7-8F5D-42C2070D9298} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    Task: {2832823E-82E3-4337-B409-ED6006F363AE} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe <==== ATTENTION
    Task: {2FC8D47F-71BC-4387-825E-743DE852ADE9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {3B4E4996-641C-49B9-AC00-EF99A131AD7E} - System32\Tasks\Илья => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Илья /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== ATTENTION
    Task: {4164452E-3C62-471B-BFD2-0223A8866CAC} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
    Task: {43C9AD29-9428-41B1-9159-E016CA5FB5AF} - System32\Tasks\Price Fountain => C:\Users\75BD~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
    Task: {4C58010D-C317-4BDA-BE30-BC4E5ABF850D} - \CCleanerSkipUAC -> No File <==== ATTENTION
    Task: {55D5CA82-788E-4C92-962C-42907DAB49E7} - System32\Tasks\RestoreSearch => Command(1): cmd.exe -> /c @echo Set objShell = WScript.CreateObject("WScript.Shell") &gt; %TEMP%\R.vbs
    Task: {55D5CA82-788E-4C92-962C-42907DAB49E7} - System32\Tasks\RestoreSearch => Command(2): cmd.exe -> /c @echo objShell.Run "cmd.exe /c (attrib -H -R -S %WinDir%\system32\GroupPolicy\Machine\Registry.pol)&amp;(copy/b/y %WinDir%\system32\GroupPolicy\Machine\R %WinDir%\system32\GroupPolicy\Machine\Registry.pol &gt; nul)&amp;(gpupdate/force)&amp;(attrib +R %WinDir%\system32\GroupPolicy\Machine\Registry.pol)", 0, True &gt;&gt; %TEMP%\R.vbs
    Task: {55D5CA82-788E-4C92-962C-42907DAB49E7} - System32\Tasks\RestoreSearch => Command(3): wscript.exe -> %TEMP%\R.vbs
    Task: {55D5CA82-788E-4C92-962C-42907DAB49E7} - System32\Tasks\RestoreSearch => Command(4): cmd.exe -> /c del/Q %TEMP%\R.vbs
    Task: {66AD5FB9-E68D-4757-858D-CA37CA58B304} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {6BAAD68C-7682-4ECD-9C81-99A29F563553} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {6D98E9F7-7B6B-4672-B2C1-4E54CAAF4097} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {AC6113AA-1952-40B1-8DA9-FE2381B39641} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {B9757A0B-A4BB-41A1-8677-9C743875146D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {C4CBE4AA-8F92-4132-B13C-541A77540D3B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {D19F0C60-D84E-4EFE-896E-38E35F9D461F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {E0C99EAA-8693-4D5A-9355-CD64D485DE6C} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe <==== ATTENTION
    Task: {E14F41F7-5763-42D7-BC32-65B2F7C56905} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {FDD19935-8DFF-4511-AA80-45BBD44124FE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {FF59F405-C4DF-4B9F-8131-F46D6E53B7F6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    > Chrome Search (HKLM-x32\...\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch) (Version:  - ) <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [484]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [147]
    MSCONFIG\startupreg: ZetaGamesNews => C:\Users\Илья\AppData\Local\ZetaGamesNews\zeta.exe
    MSCONFIG\startupreg: ZetaGamesViewer => C:\Users\Илья\AppData\Local\ZetaGamesViewer\zetaviewer.exe --show-hidden
    HKU\S-1-5-21-37632821-4186348916-232857434-1000\...\StartupApproved\Run: => "Илья"
    Reboot:
    End::
    2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
    3. Запустите Farbar Recovery Scan Tool.
    4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание: будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    19.07.2020
    Сообщений
    4
    Вес репутации
    14
    Думаю играет роль на каком пользователе был запущен вирус, все процедуры проделывал на другом пользователе, сейчас прикрепляю Fixlog с аккаунта с которого всё прикреплял изначально. Сейчас следующим сообщением прикреплю всё с пользователя, на котором был запущен вирус, совершив те же процедуры.

    - - - - -Добавлено - - - - -

    Так как последний fixscript идёт для определённого пользователя, я сделал всё, кроме последнего скрипта.
    Вот архивы с другого пользователя

    Fixlog для скрипта, второй раз не выполнял
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Примеры зашифрованных файлов прикрепите в архиве к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    19.07.2020
    Сообщений
    4
    Вес репутации
    14

    Зашифрованные файлы

    В каждом архиве по одному файлу, прикрепил картинки

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ваши файлы https://dropmefiles.com/Bz2Gr
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 21.07.2020, 01:48
  2. Ответов: 4
    Последнее сообщение: 13.05.2020, 20:28
  3. Ответов: 11
    Последнее сообщение: 18.06.2019, 18:13
  4. Блокировка WannaCash - как лечиться?
    От aprilis в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 31.08.2018, 21:24
  5. Ответов: 9
    Последнее сообщение: 03.11.2015, 20:14

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00898 seconds with 20 queries