• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-nightmare666@cock.li.ver-CL 1.5.1.0

alex7sasha

Новый пользователь
Сообщения
11
Реакции
0
Здравствуйте! Вот и мы поймали неприятный шифровальчик, помогите пожалуйста, прикрепляю файл лога, зараженные файлы и сам вирус:
 

Вложения

  • CollectionLog-2019.06.10-14.23.zip
    46 KB · Просмотры: 2
  • Зараженные файлы.zip
    3.2 KB · Просмотры: 4
Последнее редактирование:
Во вложении утилита для блокировки рабочего стола. Смените пароли на RDP
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O2-32 - HKLM\..\BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)

Сами настраивали?
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [@ivt] protocol is in Unknown Zone, should be Intranet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [file] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [ftp] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [http] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [https] protocol is in Unknown Zone, should be Internet Zone (User: 'Classic .NET AppPool')
O15 - HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334\..\ProtocolDefaults: - [shell] protocol is in Unknown Zone, should be My Computer Zone (User: 'Classic .NET AppPool')

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Благодарю за ваше содействие!
Значит по пунктам:
1. По поводу двух строк пофиксил в HijackThis.
2. По поводу строк ProtocolDefaults - я к сожалению понятия не имею, т.к. занимаюсь удаленно этим ПК и может быть что-то настраивали.
3. Прошел сканирование, прикрепляю файлы
 

Вложения

  • FRST.txt
    59.7 KB · Просмотры: 1
  • Addition.txt
    32.6 KB · Просмотры: 1
FirewallRules: [{FC56A92D-7F16-4370-9148-87EBC9EB52BE}] => (Allow) LPort=443
FirewallRules: [{DC891F0D-EA1C-4C91-96BD-E227CEE78F6D}] => (Allow) LPort=443
FirewallRules: [{132AB72A-B7BA-4840-890C-F4C157457CF8}] => (Allow) LPort=443

Уточните, открывали ли порты специально

https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip - очистите при помощи утилиты записки от вымогателя и ждите ответа @thyrex по поводу расшифровки (хотя шансов мало, на днях злоумышленники обновили шифратор)
 
По поводу правила: да, специально открыты порты.
Сейчас попробую прогнать утилитой
 
Прогнал утилитой, 0 Ransom Notes на рабочем столе (для примера), сейчас сканирую весь диск С
 
Если не найдет ничего, то напишу разработчикам. Ручной скрипт чистки ниже.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.TEST\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR_Notify\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Eos.AppPool.1.A20MR\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo_exchange\AppData\Local\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Downloads\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Documents\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\Desktop\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\Users\delo\AppData\LocalLow\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ C:\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\delo\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Все пользователи\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000000082 _____ C:\Users\Public\Desktop\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ C:\Program Files (x86)\README.txt
    2019-06-09 19:04 - 2019-06-09 19:04 - 000000082 _____ C:\Program Files\README.txt
    2019-06-09 19:03 - 2019-06-09 19:03 - 000000082 _____ C:\Program Files\Common Files\README.txt
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:10 - 000001279 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:09 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:08 - 2019-06-09 19:09 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:49 - 2019-06-09 19:10 - 000001279 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 19:04 - 2019-06-09 19:04 - 000000082 _____ () C:\Program Files\README.txt
    2019-06-09 19:08 - 2019-06-09 19:08 - 000000082 _____ () C:\Program Files (x86)\README.txt
    2019-06-09 19:03 - 2019-06-09 19:03 - 000000082 _____ () C:\Program Files\Common Files\README.txt
    2019-06-09 19:05 - 2019-06-09 19:05 - 000000082 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ () C:\Users\delo\AppData\Roaming\README.txt
    2019-06-09 19:10 - 2019-06-09 19:10 - 000000082 _____ () C:\Users\delo\AppData\Roaming\Microsoft\README.txt
    2019-06-09 19:09 - 2019-06-09 19:09 - 000000082 _____ () C:\Users\delo\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прошел FRST-ом, получил Fixlog.txt прикрепил лог.
Касательно Ransom Notes у меня не хватило терпения сканировать весь диск, дело в том что довольно много файлов сканировать ему придется и если не ошибаюсь то около 100к файлов. Когда я его закрывал было 0 найденных при больше 100 ransomwares.
 

Вложения

  • Fixlog.txt
    19.1 KB · Просмотры: 1
Теперь нужно подождать ответа @thyrex
 
Увы, с расшифровкойне сможем помочь.
 
Есть новости по поводу Ransom Notes, там чисто гаджеты (Windows Gadgets).
Сейчас закончится сканирование SecurityCheck скину лог
 

Вложения

  • RansomNotes.txt
    3.6 KB · Просмотры: 1
Как-то неудачно завершился
44070
 

Вложения

  • SecurityCheck.txt
    9.5 KB · Просмотры: 1
Не страшно, лог в норме. Исправьте по возможности.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 9 (64-bit) v.7.0.90 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u211-windows-x64.exe).
------------------------------- [ Browser ] -------------------------------
Google Chrome v.74.0.3729.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
 
А смысл проводить обновления ПО, если все зашифровано? 7zip, chrome , java зашифрованы, что даже запустить не могу.
 
Ярлыки запуска программ нужно пересоздать вручную.
 
Это не связанные процессы. Шифратор самоудалился, мы закрываем вектор атаки. Новая ос не будет мешать расшифровке.
 
Назад
Сверху Снизу