Показано с 1 по 19 из 19.

Поймали шифровальщик (заявка № 227156)

  1. #1
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40

    Поймали шифровальщик

    Здравствуйте, поймали шифровальщик, антивирусником пока не лечил, логи прикрепил, готовы заплатить если возможна дешифровка
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,296
    Вес репутации
    364
    Уважаемый(ая) VLDolph, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Здравствуйте!

    Один из файлов Info.hta вместе с 2-3 зашифрованными документами упакуйте в архив с паролем и прикрепите к следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    пароль qwerty55
    Вложения Вложения
    • Тип файла: rar harma.rar (35.7 Кб, 1 просмотров)

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
    Помощь в очистке системы нужна или планируете переустановку?

  7. #6
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    Цитата Сообщение от Sandor Посмотреть сообщение
    Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
    Помощь в очистке системы нужна или планируете переустановку?
    нужна

    - - - - -Добавлено - - - - -

    еще хочу спросить в интернете видел предложения по восстановлению баз 1С без дешифровки, после данного шифровальщика это возможно?

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    В системе установлен Acronis, резервных копий не сохранилось?

    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
     QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
     QuarantineFile('C:\Windows\System32\A50ZFS_payload.exe', '');
     QuarantineFile('C:\Windows\System32\Info.hta', '');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '64');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAC7E80E.[[email protected]].harma', '64');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
     DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
     DeleteFile('C:\Windows\System32\A50ZFS_payload.exe', '64');
     DeleteFile('C:\Windows\System32\Info.hta', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.



    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.



    Сделайте повторные логи по правилам. (CollectionLog)



    Цитата Сообщение от VLDolph Посмотреть сообщение
    в интернете видел предложения по восстановлению баз 1С
    Тут надо быть очень осторожным, как правило это посредники, связанные со злоумышленниками и накручивающие свою цену.

  9. #8
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    Цитата Сообщение от Sandor Посмотреть сообщение
    В системе установлен Acronis, резервных копий не сохранилось?
    была создана зона безопасности акронис на отдельном диске, но я не могу ее открыть на другом компьютере, р студио тоже ничего не видит

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Понятно. Выполняйте скрипт.

  11. #10
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    ошибка в скрипте (слишком много параметров) без этих строчек выполнился, каратнтин прикрепил
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Цитата Сообщение от VLDolph Посмотреть сообщение
    ошибка в скрипте (слишком много параметров)
    AVZ запускали эту версию?
    C:\AutoLogger\AutoLogger\AV\av_z.exe
    Или скачивали самостоятельно?

  13. #12
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    сам качал, запустил из папки автологера скрипт отработал, снова карантин отправить?

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Нет, не нужно.


    Цитата Сообщение от Sandor Посмотреть сообщение
    Сделайте повторные логи по правилам. (CollectionLog)

  15. #14
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    новый лог
    Вложения Вложения

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Дополнительно:
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

    Личные сообщения проверьте.

  17. #16
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    сделал
    Вложения Вложения

  18. #17
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    Из семи учётных записей системы пять обладают правами администратора. Пересмотрите и смените пароли.

    Проверьте уязвимые места и устаревшее критическое ПО:
    • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    31
    Вес репутации
    40
    сделал
    Вложения Вложения

  20. #19
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,716
    Вес репутации
    134
    ------------------------------- [ Windows ] -------------------------------
    Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
    Контроль учётных записей пользователя отключен (Уровень 1)
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
    ------------------------------ [ ArchAndFM ] ------------------------------
    WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
    ---------------------------- [ ProxyAndVPNs ] -----------------------------
    OpenVPN 2.1.3 v.2.1.3 Внимание! Скачать обновления
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 32 ActiveX v.32.0.0.414 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Похожие темы

  1. Парни помогите! Поймали шифровальщик [email protected]
    От Павел Жариков в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 28.08.2017, 19:15
  2. Поймали шифровальщик файлов
    От ittsdv в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.04.2014, 19:22
  3. мы поймали шифровальщик [email protected]_XE130
    От scarysidor в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 13.02.2014, 20:27
  4. Поймали шифровальщик [email protected]_442
    От Дима Тарасов в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 21.01.2014, 18:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01080 seconds with 18 queries