Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, 28.05 зашифровались все файлы и присвоилось расширение (filescoder@tutanota.com).Zendaya, на тот момент был установлен и работает до сих пор Kaspersky Endpoint Security 11 v.11.9.0.351 (Лицензия), очень прошу помощи!

Addition.txt FRST.txt зашифрованные файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Перепакуйте, пожалуйста, архив "зашифрованные файлы", только вместо файла Decryption-Guide.HTA добавьте туда файл Decryption-Guide.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, это VoidCrypt, расшифровки нет.

В системе, судя по логам, дыра, через которую злоумышленник проник и вручную остановил антивирус и запустил шифрование.

 

Смените пароли администраторов и на доступ по RDP.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    IFEO\displayswitch.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
    IFEO\sethc.exe: [Debugger] C:\Windows\reg\REBE1l.exe
    IFEO\utilman.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\filescoder@tutanota.com.exe.(MJ-GE6079812435)(filescoder@tutanota.com).Zendaya [2022-05-28] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\Tasks\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Downloads\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Desktop\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Downloads\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\Tasks\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Downloads\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Desktop\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Documents\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Documents\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Desktop\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Documents\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Documents\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Desktop\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Администратор\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Public\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Program Files\Common Files\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Администратор\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Downloads\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Program Files\Common Files\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Windows\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Users\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files (x86)\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Windows\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Users\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files (x86)\Decryption-Guide.txt
    File: C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
    C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
    File: C:\Windows\reg\REBE1l.exe
    C:\Windows\reg\REBE1l.exe
    FirewallRules: [{611725C6-1808-4578-ACE7-EC74C81D00D1}] => (Allow) LPort=475
    FirewallRules: [{A7341682-6890-418E-B43C-00E25AD62F50}] => (Allow) LPort=475
    FirewallRules: [{E1A0503B-980E-45BD-AF1A-51A3FBFF687C}] => (Allow) LPort=1346
    FirewallRules: [{F0E5E321-F5A3-4FAC-97A4-440FA857A880}] => (Allow) LPort=1344
    FirewallRules: [{EA36EC14-FD47-43F0-BD8A-42D55C5B90FE}] => (Allow) LPort=1345
    FirewallRules: [{DE656C7A-3A7B-40E7-80E2-EFF44FB18E02}] => (Allow) LPort=1347
    FirewallRules: [{F430101B-B5F9-4B21-B1CB-6BEB0DD31697}] => (Allow) LPort=135
    FirewallRules: [{78582AF1-6CB2-4070-A42F-B5ACB25F06DB}] => (Allow) LPort=9422
    FirewallRules: [{BC978E27-DE4C-45F1-8208-F5A706D06354}] => (Allow) LPort=9245
    FirewallRules: [{3C3084C6-376C-4EDD-8839-BEA9CE9F2896}] => (Allow) LPort=9246
    FirewallRules: [{C4D326DC-2C33-46B0-BC9A-DC61CDDDA339}] => (Allow) LPort=9247
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Уязвимые места системы можете проверить так:

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • avkor66
      От avkor66
      Доброго дня всем форумчанам!
       
      Настигла беда, поймали шифровальщик на рабочий сервер, зашифровал все текстовые документы, изображения, базы данных 1С и прочее, все файлы с расширением ".SanxK6eaA"
      Пршлись по каждой папке, в каждой папке оставили файл с информацией о выкупе "SanxK6eaA.README.txt" с просьбой связаться по электронному адресу: mrbroock@msgsafe.io 
      Просят 1000$ и дают непонятные гарантии.
      Kaspersky Internet Security нашел один вирус: "HEUR:Trojan.Multi.Runner.y"  не знаю, относится он к шифровальщикам или нет, не знаю.
       
      Сориентируйте пожалуйста по дальнейшим действиям
      В приложении файлы зашифрованные, незашифрованные, требования, логи.
      Заранее спасибо.
      virus.zip
    • Jorik
      От Jorik
      Добрый вечер всем!
       
      У меня та же проблема, все файлы зашифрованы по шаблону [Onion749@onionmail.org][3E7083C9]хххOriginalNameххх.ххх.onion700
      Произошло это 30 ноября. Диск вытащил целиком и переписываюсь с вымогателями... Будут какие-то идеи по расшифровке, киньте ссылку пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • printscreen
      От printscreen
      День добрый! Генеральный директор умудрился запустить вирус шифровальщик и зашифровал всё на своей машине вместе с сетевым диском. 
      Addition.txt archive.7z FRST.txt
    • ndg
      От ndg
      Поймали такой же вирус. Зашифровал весь сервер. Удалится не успел. Есть предполагаемый exe. Он может помочь в создании дешифратора?
    • Lucidlynx
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
×
×
  • Создать...