Показано с 1 по 15 из 15.

Схватил шифровальщик [[email protected]].termit (заявка № 225805)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13

    Схватил шифровальщик [[email protected]].termit

    Зашифровались 2 компьютера на каждом файлы с припиской как в теме, в каждой папке находится файл ReadMe_Decryptor с текстом
    "For decryption write here - [email protected] (Write only in English)If you do not receive an answer write here - [email protected]


    Jabber contact for online communication (not always available, but I will answer as I see) - [email protected] (xmpp.jp - registration, web client - https://web.xabber.com )


    Don't modify the files - you will ruin them. Test decryption < 500 kb (not databases and important files, only for demonstration of decryption)"

    помогите пожалуйста вот все логи CollectionLog-2020.10.26-09.50.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) VODKA5665, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    Здравствуйте!

    2-3 небольших зашифрованных документа вместе с самой запиской ReadMe_Decryptor упакуйте в архив и прикрепите к следующему сообщению.

    - - - - -Добавлено - - - - -

    Пока только для определения типа вымогателя.

  5. #4
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13

    файлы

    вот файлы

    - - - - -Добавлено - - - - -

    можно каким нибудь образом востановить хотя бы определенные файлы? нужно хотя бы базы 1С, может через HEX редактор или еще как?
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    Тип вымогателя Dcrtr. Некоторые его версии были успешно расшифрованы Dr.Web. Попробуйте к ним обратиться.
    Если надумаете, результат сообщите здесь, пожалуйста.

    Пароли на RDP смените уже сейчас. AmmyAdmin - ваше? Также смените пароли.

  7. #6
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13
    подскажите, на сколько мне сейчас опасно работать на моем компьютере?

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    Активного заражения не видно. Кое-что почистим:
    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
     DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
     DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.


    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13

    файлы

    файлы из приложения

    - - - - -Добавлено - - - - -

    я обратился к специалистам из dr.web вот что ответили "Здравствуйте!

    Файлы зашифрованы Trojan.Encoder.24474
    Расшифровка нашими силами невозможна.

    Единственный способ восстановления данных - из резервных копий, если они имеются.

    Во избежание повторных заражений используйте актуальную версию Dr.Web https://download.drweb.com
    Поведенческий анализатор Dr.Web Process Heuristic эффективно защищает от новейших неизвестных угроз. Благодаря схожести поведения многих вредоносных программ Dr.Web Process Heuristic выявляет те из них, которые еще неизвестны Dr.Web, — в частности, новые модификации Trojan.Encoder и Trojan.Inject и блокирует их до того, как данные на ПК повреждены.

    Один из способов распространения этого энкодера - несанкционированный вход, через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию), поэтому поменяйте все пароли (задайте сложный пароль не менее 8-ми символов, содержащий буквы разного регистра, цифры и спец. символы), заблокируйте неиспользуемые учетные записи и установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов, убедитесь, что установлены все обновления операционной системы."

    - - - - -Добавлено - - - - -

    я повторю вопрос, есть ли какая то возможность восстановить определенные файлы? хоть какая то?
    Вложения Вложения

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      SystemRestore: On
      CreateRestorePoint:
      HKU\S-1-5-21-2413091500-2488688687-3866853633-1001\...\MountPoints2: {c5e3f934-f63d-11e9-9f2e-54a0507d19a9} - "E:\autorun.exe" 
      GroupPolicy: Restriction ? <==== ATTENTION
      HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
      Task: {FAD3510B-AB8F-4CF2-8920-EF43E01FB951} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
      Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
      CHR StartupUrls: Profile 1 -> "hxxp://www.google.com","hxxp://yandex.ru/?clid=123448","hxxp://mail.ru/cnt/10445?gp=801401","hxxp://mail.ru/cnt/10445?gp=820321","hxxp://mail.ru/cnt/10445?gp=812204","hxxps://www.google.com/"
      S1 jzggaipt; \??\C:\Windows\system32\drivers\jzggaipt.sys [X]
      2020-10-26 01:16 - 2020-10-26 01:16 - 000003037 _____ C:\Users\VLAD\AppData\Roaming\Decryptor_Info.hta
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Все пользователи\ReadMe_Decryptor.txt
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\VLAD\ReadMe_Decryptor.txt
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\VLAD\Downloads\ReadMe_Decryptor.txt
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Default\ReadMe_Decryptor.txt
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Default User\ReadMe_Decryptor.txt
      2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\ProgramData\ReadMe_Decryptor.txt
      2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\Users\VLAD\Documents\ReadMe_Decryptor.txt
      2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\Users\VLAD\Desktop\ReadMe_Decryptor.txt
      2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\ReadMe_Decryptor.txt
      2020-10-26 01:10 - 2020-09-23 21:03 - 000259584 _____ C:\Users\VLAD\AppData\Roaming\mhtop32bit.exe
      AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
      FirewallRules: [{AFDF7A60-5E5E-4ED4-9AFA-FA14F8B8F565}] => (Allow) LPort=6160
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер будет перезагружен автоматически.

  11. #10
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13

    Фикс логи

    фикс логи прикрепил, а что мне делать с другими компьютерами которые так же заразились?
    Вложения Вложения

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    Можем проверить. Только действуйте по принципу один компьютер - одна тема. Во избежание путаницы.

    Здесь проверьте уязвимые места:
    • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13

    Файл

    следующий файл
    Вложения Вложения

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Защитника Windows (mpssvc) - Служба работает
    Отключен общий профиль Брандмауэра Windows
    Отключен частный профиль Брандмауэра Windows
    --------------------------- [ OtherUtilities ] ----------------------------
    Яндекс.Диск v.3.1.19.3647 Внимание! Скачать обновления
    Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
    Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
    ^Удалите старую версию, скачайте и установите новую.^
    ------------------------------ [ ArchAndFM ] ------------------------------
    WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
    ------------------------------- [ Browser ] -------------------------------
    Mozilla Firefox 79.0 (x64 ru) v.79.0 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Firefox!^
    Yandex v.20.9.2.102 Внимание! Скачать обновления
    ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

  15. #14
    Junior Member Репутация
    Регистрация
    26.10.2020
    Сообщений
    7
    Вес репутации
    13
    мне нужно выполнить все пункты?

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    Если заботитесь о безопасности системы, то да, желательно.

Похожие темы

  1. bam-4.nr-data.net~~ bam-1.nr-data.net~~ bam-5.nr-data.net
    От moobi в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 28.01.2016, 15:47
  2. Ответов: 27
    Последнее сообщение: 23.03.2010, 10:20
  3. Схватил вирус. Не могу понять - какого?
    От zocer в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 22.02.2009, 04:29
  4. Схватил Sifiliz, нужна помощь
    От ARmY в разделе Помогите!
    Ответов: 36
    Последнее сообщение: 22.02.2009, 03:25
  5. Схватил непонятный вирус хелп!
    От TrustMe в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 22.02.2009, 01:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01597 seconds with 20 queries