Перейти к содержанию

Шифровальщик (filescoder@tutanota.com).Zendaya

Evgen_V
 Поделиться

Рекомендуемые сообщения

Evgen_V

Evgen_V

Опубликовано
Опубликовано

Здравствуйте, 28.05 зашифровались все файлы и присвоилось расширение (filescoder@tutanota.com).Zendaya, на тот момент был установлен и работает до сих пор Kaspersky Endpoint Security 11 v.11.9.0.351 (Лицензия), очень прошу помощи!

Addition.txt FRST.txt зашифрованные файлы.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Перепакуйте, пожалуйста, архив "зашифрованные файлы", только вместо файла Decryption-Guide.HTA добавьте туда файл Decryption-Guide.txt

Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, это VoidCrypt, расшифровки нет.

В системе, судя по логам, дыра, через которую злоумышленник проник и вручную остановил антивирус и запустил шифрование.

 

Смените пароли администраторов и на доступ по RDP.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
IFEO\displayswitch.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
IFEO\sethc.exe: [Debugger] C:\Windows\reg\REBE1l.exe
IFEO\utilman.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\filescoder@tutanota.com.exe.(MJ-GE6079812435)(filescoder@tutanota.com).Zendaya [2022-05-28] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\Tasks\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Downloads\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Desktop\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Downloads\Decryption-Guide.HTA
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\Tasks\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Downloads\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Desktop\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.txt
2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Documents\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Documents\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Desktop\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Documents\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Documents\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Desktop\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Администратор\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Public\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Program Files\Common Files\Decryption-Guide.HTA
2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Администратор\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Downloads\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Decryption-Guide.txt
2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Program Files\Common Files\Decryption-Guide.txt
2022-05-28 12:28 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Decryption-Guide.HTA
2022-05-28 12:28 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Decryption-Guide.txt
2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Windows\Decryption-Guide.HTA
2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Users\Decryption-Guide.HTA
2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files\Decryption-Guide.HTA
2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files (x86)\Decryption-Guide.HTA
2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Windows\Decryption-Guide.txt
2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Users\Decryption-Guide.txt
2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files\Decryption-Guide.txt
2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files (x86)\Decryption-Guide.txt
File: C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
File: C:\Windows\reg\REBE1l.exe
C:\Windows\reg\REBE1l.exe
FirewallRules: [{611725C6-1808-4578-ACE7-EC74C81D00D1}] => (Allow) LPort=475
FirewallRules: [{A7341682-6890-418E-B43C-00E25AD62F50}] => (Allow) LPort=475
FirewallRules: [{E1A0503B-980E-45BD-AF1A-51A3FBFF687C}] => (Allow) LPort=1346
FirewallRules: [{F0E5E321-F5A3-4FAC-97A4-440FA857A880}] => (Allow) LPort=1344
FirewallRules: [{EA36EC14-FD47-43F0-BD8A-42D55C5B90FE}] => (Allow) LPort=1345
FirewallRules: [{DE656C7A-3A7B-40E7-80E2-EFF44FB18E02}] => (Allow) LPort=1347
FirewallRules: [{F430101B-B5F9-4B21-B1CB-6BEB0DD31697}] => (Allow) LPort=135
FirewallRules: [{78582AF1-6CB2-4070-A42F-B5ACB25F06DB}] => (Allow) LPort=9422
FirewallRules: [{BC978E27-DE4C-45F1-8208-F5A706D06354}] => (Allow) LPort=9245
FirewallRules: [{3C3084C6-376C-4EDD-8839-BEA9CE9F2896}] => (Allow) LPort=9246
FirewallRules: [{C4D326DC-2C33-46B0-BC9A-DC61CDDDA339}] => (Allow) LPort=9247
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Уязвимые места системы можете проверить так:

 

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vlad21
      Вирус-шифровальщик @tutanota.com
      Автор Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
×
×
  • Создать...