Перейти к содержанию

Тоже словил dalneken@tutanota.de

CandyA
 Share Подписчики 1

Рекомендуемые сообщения

CandyA

CandyA 0

Опубликовано
Опубликовано

Доброго времени!

 

17 марта утром прошло шифрование файлов.

Kaspersky Virus Removal Tool ничего не нашел.

Логи Farbar Recovery Scan Tool, подпись шифратора и зашифрованный файл прилагаю

Readme.txt

FRST.txt

Addition.txt

CDR.7z

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, результат тот же, CryptConsole 3 и расшифровки нет.

Система под переустановку или будем чистить?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

RDP Wrapper Library

WinZip 24.0

Об установленных программах удаленного доступа Radmin, Remote Viewer, TeamViewer вам известно? Если нет, тоже удалите.

 

Затем

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {08c409d4-f4e0-11e7-a293-408d5cca77c2} - 华为手机助手安装向导.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {1a04b8c5-9d05-11e7-9448-408d5cca77c2} - F:\startme.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {6ac415c0-7592-11e7-b38f-806e6f6e6963} - E:\SETUP.EXE
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {889f5e9e-35cb-11ea-acc6-408d5cca77c2} - E:\SISetup.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {aeba33f8-1474-11e8-a917-408d5cca77c2} - 华为手机助手安装向导.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043b0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043c0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec204416-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049c2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049d2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049e5-57f3-11e8-a340-408d5cca77c2} - G:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ee05fe3e-b7b9-11e8-a50b-408d5cca77c2} - F:\Setup.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2020-03-17] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\LocalLow\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\AppData\Readme.txt
2020-03-17 07:35 - 2020-03-17 07:35 - 000000177 _____ C:\Users\Public\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\Users\Все пользователи\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\ProgramData\Readme.txt
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
AlternateDataStreams: C:\ProgramData\TEMP:79EA65FB [350]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Amadeys
      Шифровальщик [Friderique@tutanota.com].eking
      От Amadeys
      Добрый день. 
      Вчера ночью были зашифрованы сообщения.
      Прикладываю фото и логи, файл info с рабочего стола, зашифрованные файлы eking
      Фото.rar CollectionLog-2022.04.03-13.56.zip info.rar eking.rar
    • Трион
      Зашифровка файлов (unlckr@tutanota.com)
      От Трион
      Доброе время суток!
      Прошу помочь зашифровали файлы от такого unlockr@tutanota.com злоумышленника.
      Кто-нибудь столкнулся?  смог восстановить?!
      nvmjbqxxhphfmyi.txt Отчет менеджера Январь 2021год. ллл.xlsx
    • kenet42
      Шифратор [EnceryptedFiles@tutanota.com].Encrypted
      От kenet42
      FRST.txtfiles.7zДобрый день
      Поймали шифратор на сервер. 
      Образцы и результаты сканирования Farbar Recovery Scan Tool во вложении.
      Подскажите, есть ли шанс расшифровать данные?

      Спасибо!
    • Akado
      Зашифрованы файлы xser@tutanota.com
      От Akado
      В ночь с 05.06.2018 по 06.06.2018 зашифровались все файлы на сервере. Наименование файлов изменено на "xser@tutanota.com_........". В корне каждой из папок лежат README.txt. На системном диске появилась папка с названием "1", внутри которой несколько .exe-файлов (в прикрепленном архиве данная папка с .exe, файл readme.txt и несколько зашифрованных файлов).
      file.7z
      CollectionLog-2018.06.07-11.26.zip
    • Maxim Shadrin
      Шифратор szem@tutanota.com
      От Maxim Shadrin
      Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 
      Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE
      Помогите пожалуйста! 
        readme exe .zip
      Desktop.zip
×
×
  • Создать...