Перейти к содержимому


Фотография
- - - - -

Помощь в расшифровке

шифровальщик вирус

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   W32neshuta

W32neshuta

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 02 March 2020 - 11:03

словил шифровальщик bitcoin@email.tg

29.02.2020 файлы были зашифрованы.

на комп заходили по RDP и Anydesk.

 

Прикрепленные файлы


Сообщение отредактировал W32neshuta: 02 March 2020 - 11:16

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 02 March 2020 - 11:12

Здравствуйте!

Расшифровки этой версии вымогателя нет.

Лишнего администратора отключите или удалите:

user (S-1-5-21-599357780-2875187717-3479361454-1001 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-599357780-2875187717-3479361454-500 - Administrator - Disabled)

Пароль на RDP смените.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Cloud


Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   W32neshuta

W32neshuta

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 02 March 2020 - 11:28

прикрепил новый файл скана. CollectionLog-2020.03.02-11.14.zip  

Добавил лог  AdwCleaner

Прикрепленные файлы


Сообщение отредактировал W32neshuta: 02 March 2020 - 11:29

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 02 March 2020 - 11:54

Файл AdwCleaner[C00].txt тоже покажите.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13913 2020-02-28] () [File not signed]
    HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13913 2020-02-28] () [File not signed]
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
    Task: {998E7E0F-A5AB-4C09-8E50-73B822DEEAE8} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\WINDOWS\system32\Info.hta
    2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\Users\user\AppData\Roaming\Info.hta
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сообщение отредактировал Sandor: 02 March 2020 - 11:54

  • 0
Изображение

#5 OFF   W32neshuta

W32neshuta

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 02 March 2020 - 12:04

Файл AdwCleaner[C00].txt тоже покажите.


  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 02 March 2020 - 12:06

Скрипт достаточно было выполнить один раз.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

    • 0
    Изображение

    #7 OFF   W32neshuta

    W32neshuta

      Новичок

    • Новички
    • Cообщений: 7

    Отправлено 02 March 2020 - 12:28

    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

    Прикрепленные файлы

    • Прикрепленный файл  log.txt   5.87К   скачиваний 1

    • 0

    #8 OFF   Sandor

    Sandor

      Вежливый хелпер

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 11688

    Отправлено 02 March 2020 - 12:32

    ------------------------------- [ Windows ] -------------------------------
    Контроль учётных записей пользователя включен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
    --------------------------- [ OtherUtilities ] ----------------------------
    K-Lite Mega Codec Pack 12.4.4 v.12.4.4 Внимание! Скачать обновления
    TeamViewer 13 v.13.2.36217 Внимание! Скачать обновления
    -------------------------------- [ Arch ] ---------------------------------
    WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
    WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^
    Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^
    Java SE Development Kit 7 Update 79 v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u241-windows-i586.exe).
    ------------------------------- [ Browser ] -------------------------------
    Mozilla Firefox 60.3.0 ESR (x64 ru) v.60.3.0 Внимание! Скачать обновления


    Читайте Рекомендации после удаления вредоносного ПО
    • 0
    Изображение

    #9 OFF   W32neshuta

    W32neshuta

      Новичок

    • Новички
    • Cообщений: 7

    Отправлено 02 March 2020 - 12:33

    я так понимаю ждать что через некоторое время появится расшифровка не стоит?


    • 0

    #10 OFF   Sandor

    Sandor

      Вежливый хелпер

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 11688

    Отправлено 02 March 2020 - 12:37

    Маловероятно. Но если планируете ждать, сохраните в том числе папку C:\FRST

    Ознакомьтесь со статьей. Если есть возможность, напишите заявление.
    • 0
    Изображение

    #11 OFF   W32neshuta

    W32neshuta

      Новичок

    • Новички
    • Cообщений: 7

    Отправлено 02 March 2020 - 21:38

    Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$


    • 0

    #12 OFF   mike 1

    mike 1

      Мурзик

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 13582

    Отправлено 02 March 2020 - 21:45

    Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

    Угу, но только скорее всего попросят оставшиеся 1500$ на втором этапе, который необходим для расшифровки. Так что не обольщайтесь. Я бы им не верил наслово. Пример: https://safezone.cc/...com-adobe.32578 . Замечу, что модификация шифровальщика у вас такая же, а те кто его используют показали себя не с лучшей стороны. 


    • 0

    #13 OFF   W32neshuta

    W32neshuta

      Новичок

    • Новички
    • Cообщений: 7

    Отправлено 02 March 2020 - 22:07

    да мне проще все снести


    • 0





    Темы с аналогичными тегами: шифровальщик вирус

    Количество пользователей, читающих эту тему: 0

    0 пользователей, 0 гостей, 0 анонимных