Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1656 След.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Станислав Долгушин написал:
Здравствуйте! Буквально вчера ночью на сервер каким-то образом попал троян. Файлы зашифровались расширением [ savemydata@qq.com ].harma . Перепробовал уже все подряд, есть решение?[/QUOTE]
добавьте образ автозапуска с зашифрованного сервера
Шифровирусы шумной толпою
[SIZE=14pt][B]Bitdefender выпустил дешифровку для текущей версии GandCrab 5.2[/B][/SIZE]

[QUOTE]мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.[/QUOTE]

https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind

[QUOTE]Decryptor Started at Mon Jun 17 18:29:08 2019

Looking for ransom note ... [G:/DATA/shifr/encode_files/GandCrab/5.2/10\GSTDMCUTBY-DECRYPT.txt]
Looking for EXT ... [.gstdmcutby]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\changesreply.png.gstdmcutby] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\classespartner.jpg.gstdmcutby] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\filezilla.xml.gstdmcutby] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\layout.xml.gstdmcutby] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\NoMail.xml.gstdmcutby] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\Outlook.xml.gstdmcutby] ... [OK]
Decrypt [ 6] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\sonar_policy.xml.gstdmcutby] ... [OK]
Decrypt [ 7] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\test.xml.gstdmcutby] ... [OK]

Total decrypted files: [8]

Scan finished![/QUOTE]
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
добрый день!

имеет смысл проверить свойства зашифрованного файла на сетевом диске, чтобы определить под какой учетной записью было шифрование,
т.о. вы с большей вероятностью сможете определить какой из компьютеров был атакован.

то, что нет еще нигде записки о выкупе может означать, что либо шифрование локально еще не завершено, либо компутер, который был атакован был выключен.
добавлю, что Crysis прописывает свое тело в автозапуск, и после перезагрузки шифрование может возобновиться.
так же возможен случай, когда антивирус удаляет через время файл шифратора, поэтому можно проверить логи антивирусов.
Если у вас установлен сервер ERA или подобная консоль, например от Касперского, тогда надо смотреть логи  угроз через консоль управления.

можно так же выложить в архиве один из зашифрованных файлов. Пара не нужна - это не сработает для Crysis
надо ждать, когда злоумышленники выложат приватные ключи, тогда расшифровка станет возможной.
возможно, WannaCash
Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.16_1\ПОИСК  ЯНДЕКСA
delref HTTPS://WWW.CMEGROUP.COM/TRADING/ENERGY/CRUDE-OIL/LIGHT-SWEET-CRUDE.HTML
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_8717DA422C5BDE7C\INTELCPHECISVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZEMANA ANTIMALWARE\ZAM.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0C83C06D-41F5-4666-B1C2-0923EA75EB10}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_8717DA422C5BDE7C\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref E:\HISUITEDOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке файлов проверьте личные сообщения:
проверьте личные сообщения.
возможно, WannaCash
Вячеслав,
по расшифровке ваших файлов проверьте личные сообщения.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
судя по логам, этот файл шифратор 1swlynru.exe
и он есть в автозапуске:
O4 - Startup other users: C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1swlynru.exe    ->    (PE EXE)
перед тем как создать образ автозапуска, проверьте, нет ли его в процессах.
если есть, то данный процесс необходимо завершить, и затем приступить к созданию образ автозапуска.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Александр,
к сожалению это Crysis, и расшифровать файлы не получится, можем помочь только очистить систему
нужен так же образ автозапуска системы, кроме прочих логов.

[QUOTE]если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);[/QUOTE]
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
судя по новым логам проверок, скрипт был выполнен успешно, и MBR #1 с руткитом: Rootkit.MBR.Zegost.G
успешно очищен.

ESET: Количество обнаружений: 0
uVS: MBR #1: ПРОВЕРЕННЫЙ загрузчик
TDSSkiller: 08:57:36.0803 0x0228 Detected object count: 0
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
лог от tdsskiller (текстовый файл) должен быть в корне диска
по проблеме:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
fixmbr MBR#1 [111,8GB]
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска
+
сделайте проверку в tdsskiller+лог
+
сделайте проверку загрузочных секторов в дисках C и D сканером ESET +лог проверки
+
добавьте лог выполнения скрипта в uVS
(это файл дата_время_log.txt в папке, откуда вы запускаете uVS
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
сделайте еще проверку в tdsskiller, при этом ничего не удаляйте, и добавьте лог проверки
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1656 След.