Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .fairytail, .doubleoffset , Filecoder.NHT/ Cryakl CL 1.4.*-1.5.*;

RSS
 
Владимир стрельцов
Владимир стрельцов
Пользователь
Сообщений: 1
Регистрация: 05.02.2018
Размещено 05.02.2018 23:10:14
Цитата
santy написал:
Владлен Александров,

добавьте несколько зашифрованных файлов + записку о выкупе в архив и поместите в ваше сообщение
+
добавьте образ автозапуска системы, возможно необходима очистка системы от тел шифратора и вредоносных программ.
Александр помогите пожалуйста! поймал шифровальщика, во вложении записка readme.txt , фаил образа автозапуска и зашифрованный фаил запакованный в архив.

Ответы

Пред. 1 2 3 4 5 След.
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 24.01.2019 18:02:47
Добрый день. Произошло шифрование файлов, злоумышленники проникли по RDP.
Файлы имеют вид - [email protected]  1.5.1.0.id-2430153881-590294926530548068443474.fname-Заявки в  эксель.xlsx.doubleoffset

Установлено время заражения, и в папке учетной записи пользователя  Temp найдены файлы относящиеся к шифровальщику, созданы в это же время.  

Огромная просьба помочь.
TEMP.jpg (842.94 КБ)
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 24.01.2019 18:05:11
Цитата
Юрий Приставка написал:
Добрый день. Произошло шифрование файлов, злоумышленники проникли по RDP.
Файлы имеют вид -  [email protected]   1.5.1.0.id-2430153881-590294926530548068443474.fname-Заявки в  эксель.xlsx.doubleoffset

Установлено время заражения, и в папке учетной записи пользователя  Temp найдены файлы относящиеся к шифровальщику, созданы в это же время.  

Огромная просьба помочь.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.01.2019 18:07:06
добавьте образ автозапуска из зашифрованной системы
+
по доступу к RDP: смените на сложные пароли пользователей, через которых произошел взлом,
настройте защиту от подбора паролей: блокирование ip после нескольких попыток неправильного ввода пароля.
ограничьте по возможности доступ из внешней сети, оставьте доступ только для проверенных ip

иначе взлом и шифрование могут повториться.
[ Как создать образ автозапуска? ]
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 24.01.2019 19:56:26
Образ автозапуска
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 24.01.2019 20:00:52
Скрин содержимого папки Temp во вложении. IP адрес с которого заходили в логах RDP - 194.61.24.131
TEMP.jpg (842.94 КБ)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.01.2019 20:26:59
Юрий Приставка
1) Антивируса в системе нет.
2) Вирус всё ещё активен:
C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
ESET a variant of Win32/Filecoder.EQ
3) Здесь лишняя запись: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 24.01.2019 20:54:59
1 и 2 знаю, ничего не трогаю специально, от сети отключен. После включения гашу экзешник и задачу из шедуллера.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.01.2019 05:14:03
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
regt 35
;---------command-block---------
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\XXXYAABCCD.EXE
apply

czoo
EXIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------


по расшифровке файлов напишите в [email protected], однако помощь в расшифровке будет оказана при наличие лицензии на продукт ESET
[ Как создать образ автозапуска? ]
 
Юрий Приставка
Юрий Приставка
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.01.2019
Размещено 25.01.2019 09:00:24
Добрый день. Спасибо за помощь, попробую написать в [email protected] К сожалению нужна именно расшифровка.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.01.2019 09:07:19
Цитата
Юрий Приставка написал:
Добрый день. Спасибо за помощь, попробую написать в  [email protected]  К сожалению нужна именно расшифровка.
хорошо, отпишите по результату,
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему