Решена с расшифровкой. Как расшифровать файлы, зараженные Trojan.Encoder.567?

siramax · 25 Июн 2019

Приветствую господа!

В общем утром зашел, а там сюрприз

Во вложениях логи, файлы зараженный и нет и папка с самим шифровальщиком

Можно ли расшифровать?

Sandor · 25 Июн 2019

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\taskger.exe', '');
 QuarantineFile('C:\RECYCLER\1.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\server.exe', '');
 DeleteFile('C:\ProgramData\taskger.exe', '32');
 DeleteFile('C:\ProgramData\taskger.exe', '64');
 DeleteFile('C:\RECYCLER\1.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\server.exe', '64');
 DeleteService('mssecsvc2.0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', 'command', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut3', '64');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

siramax · 25 Июн 2019

сделано

Sandor · 25 Июн 2019

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

akok · 25 Июн 2019

Инструкции по расшифровке будут после чистки системы

siramax · 25 Июн 2019

сделано
akok, что почистить ?

akok · 25 Июн 2019

Судя по скриптам выше, у вас еще майнер живет. Некоторые преступники оставляют в нагрузку к шифровальщику.

siramax · 25 Июн 2019

все что нашел касперский Small office - удалил

свежий лог во вложении

жив еще майнер и каковы дальнейшие действия?

akok · 25 Июн 2019

Лог автолера выше это от этой же машины?
Сами настраивали?
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\X86\EKRN.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
Знакомо?
C:\ProgramData\National\loader_xmr.exe

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
Task: {62BE16F6-B0CC-4DEA-92C5-E8051E37AF10} - \45645 -> No File <==== ATTENTION
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Downloads\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Documents\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Desktop\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\LocalLow\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Local\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
2019-06-25 03:06 - 2019-06-25 03:06 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\Users\Все пользователи\README.txt
2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\ProgramData\README.txt
2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Documents\README.txt
2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Desktop\README.txt
2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ C:\Program Files (x86)\README.txt
2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ C:\Program Files\README.txt
2019-06-25 03:01 - 2019-06-25 03:07 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-06-25 02:59 - 2019-06-25 03:12 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files\README.txt
2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ () C:\Program Files (x86)\README.txt
2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ () C:\Program Files\Common Files\README.txt
2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt
2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ () C:\Users\Администратор\AppData\Local\README.txt
FirewallRules: [{4D867255-3F38-4DF3-8F46-3D12F1E5A59E}] => (Allow) D:\3proxy\bin\3proxy.exe No File
FirewallRules: [{2DC2DAD4-F422-4879-B34D-6DCFACD5C596}] => (Allow) D:\3proxy\bin\3proxy.exe No File
FirewallRules: [{37D45113-46AC-4C62-8EEC-848B18B905FB}] => (Allow) D:\3proxy\bin\3proxy.exe No File
FirewallRules: [{55583F24-E2F4-4570-B86F-1EF19E718D15}] => (Allow) D:\3proxy\bin\3proxy.exe No File
FirewallRules: [{28BAEC28-5809-41A4-A8CA-9CCF4F20A2AA}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{CB3385A7-AFD1-45D0-A001-0383CFDFB6F2}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{C14C7972-6614-4401-AD0D-DA01ED27661D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{FD0BC153-21EF-49C5-BA2C-BC307C03A8FA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

siramax · 25 Июн 2019

реестр вроде про nod32 (стоял когда то)

в ProgramData не знакома папочка

лог во вложении

akok · 25 Июн 2019

Проверьте ЛС

siramax · 27 Июн 2019

отписываюсь:

дешифратор помог на ~80%
расшифровалось практически все кроме больших (>2Гб) файлов баз данных (самое главное бэкапы расшифровались отлично), службы MS SQL отказались запускаться и восстанавливаться (ссылаясь на проблемы безопасности), ну а другое не сильно проверял так как некритично.
касперский тоже прислал дешифратор, но почти через 1,5 суток после обращения, для некоторых это может быть критично

Парни Вам огромное спасибо за решение проблемы и оперативность (спасибка прилетит обязательно)!

akok · 27 Июн 2019

По большим файлам известная проблема, разработчик обещал исправить.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Решена с расшифровкой. Как расшифровать файлы, зараженные Trojan.Encoder.567?

siramax

Новый пользователь

Вложения

Sandor

siramax

Новый пользователь

Вложения

Sandor

akok

siramax

Новый пользователь

Вложения

akok

siramax

Новый пользователь

Вложения

akok

siramax

Новый пользователь

Вложения

akok

siramax

Новый пользователь

akok

Похожие темы