Перейти к содержимому


Фотография
- - - - -

lbkut шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 OFF   Алексей Бодун

Алексей Бодун

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 30 Октябрь 2019 - 21:23

Здравствуйте.

Заразились шифровальщиком lbkut

Заражение произошло при открытии вложения письма.

Вложение было архивом, в котором был файл .scr

 

Прикладываю лог и архив с 3-мя файлами и текстом вымогателей

 

Скажите возможна ли расшифровка?

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 30 Октябрь 2019 - 21:34

Здравствуйте!

возможна ли расшифровка?

Вероятность есть.

Пока дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   Алексей Бодун

Алексей Бодун

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 30 Октябрь 2019 - 21:50

Прикладываю файлы FRST и Addition

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   98,23К   скачиваний 2
  • Прикрепленный файл  Addition.txt   40,74К   скачиваний 1

  • 0

#4 ON   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 963

Отправлено 30 Октябрь 2019 - 23:20

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-796679063-1323013751-2610025396-1007\...\Run: [hetvuEz] => C:\Users\Nata\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT [1912 2019-10-30] () [File not signed]
Startup: C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lrF9vlGPe5jUsi4K5MMPItMY24rU8yFaiZcb1iNx.lbkut [2018-04-30] () [File not signed]
Startup: C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT [2019-10-30] () [File not signed]
2019-10-30 18:53 - 2019-10-30 18:53 - 000001912 _____ C:\Users\Nata\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:29 - 2019-10-30 15:29 - 000001912 _____ C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:26 - 2019-10-30 15:26 - 000001912 _____ C:\Users\Nata\Downloads\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:26 - 2019-10-30 15:26 - 000001912 _____ C:\Users\Nata\Documents\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:18 - 2019-10-30 18:53 - 000001912 _____ C:\Users\Nata\Desktop\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [372]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:728B799F [372]
HKU\S-1-5-21-796679063-1323013751-2610025396-1007\...\StartupApproved\StartupFolder: => "ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT"
FirewallRules: [{AF129021-8D33-4B18-9AEE-378ACB8A1D8C}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS620B.tmp\EasyInst64.exe No File
FirewallRules: [{185A65EC-8BFC-4C57-9A04-96400886A11B}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS620B.tmp\EasyInst64.exe No File
FirewallRules: [{578574F8-BE1D-4056-9B05-1A7CB44F223D}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS25E8\HPDiagnosticCoreUI.exe No File
FirewallRules: [{ADC28C9C-D1D0-4E1D-81C8-13528A9CEEAA}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS25E8\HPDiagnosticCoreUI.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Подробнее читайте в этом руководстве.
 
 
По поводу расшифровки, создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.

Сообщение отредактировал akoK: 30 Октябрь 2019 - 23:20

  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#5 OFF   Алексей Бодун

Алексей Бодун

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 31 Октябрь 2019 - 02:19

Прилагаю fix.log

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   5,39К   скачиваний 2

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных