Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, 28.05 зашифровались все файлы и присвоилось расширение (filescoder@tutanota.com).Zendaya, на тот момент был установлен и работает до сих пор Kaspersky Endpoint Security 11 v.11.9.0.351 (Лицензия), очень прошу помощи!

Addition.txt FRST.txt зашифрованные файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Перепакуйте, пожалуйста, архив "зашифрованные файлы", только вместо файла Decryption-Guide.HTA добавьте туда файл Decryption-Guide.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, это VoidCrypt, расшифровки нет.

В системе, судя по логам, дыра, через которую злоумышленник проник и вручную остановил антивирус и запустил шифрование.

 

Смените пароли администраторов и на доступ по RDP.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    IFEO\displayswitch.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
    IFEO\sethc.exe: [Debugger] C:\Windows\reg\REBE1l.exe
    IFEO\utilman.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\filescoder@tutanota.com.exe.(MJ-GE6079812435)(filescoder@tutanota.com).Zendaya [2022-05-28] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\Tasks\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Downloads\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Desktop\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Downloads\Decryption-Guide.HTA
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\Tasks\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Downloads\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Desktop\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.txt
    2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Documents\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Documents\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Desktop\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Documents\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Documents\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Desktop\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Администратор\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Public\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Program Files\Common Files\Decryption-Guide.HTA
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Администратор\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Downloads\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Decryption-Guide.txt
    2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Program Files\Common Files\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Windows\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Users\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files (x86)\Decryption-Guide.HTA
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Windows\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Users\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files\Decryption-Guide.txt
    2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files (x86)\Decryption-Guide.txt
    File: C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
    C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
    File: C:\Windows\reg\REBE1l.exe
    C:\Windows\reg\REBE1l.exe
    FirewallRules: [{611725C6-1808-4578-ACE7-EC74C81D00D1}] => (Allow) LPort=475
    FirewallRules: [{A7341682-6890-418E-B43C-00E25AD62F50}] => (Allow) LPort=475
    FirewallRules: [{E1A0503B-980E-45BD-AF1A-51A3FBFF687C}] => (Allow) LPort=1346
    FirewallRules: [{F0E5E321-F5A3-4FAC-97A4-440FA857A880}] => (Allow) LPort=1344
    FirewallRules: [{EA36EC14-FD47-43F0-BD8A-42D55C5B90FE}] => (Allow) LPort=1345
    FirewallRules: [{DE656C7A-3A7B-40E7-80E2-EFF44FB18E02}] => (Allow) LPort=1347
    FirewallRules: [{F430101B-B5F9-4B21-B1CB-6BEB0DD31697}] => (Allow) LPort=135
    FirewallRules: [{78582AF1-6CB2-4070-A42F-B5ACB25F06DB}] => (Allow) LPort=9422
    FirewallRules: [{BC978E27-DE4C-45F1-8208-F5A706D06354}] => (Allow) LPort=9245
    FirewallRules: [{3C3084C6-376C-4EDD-8839-BEA9CE9F2896}] => (Allow) LPort=9246
    FirewallRules: [{C4D326DC-2C33-46B0-BC9A-DC61CDDDA339}] => (Allow) LPort=9247
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Уязвимые места системы можете проверить так:

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • I_CaR
      От I_CaR
      Здравствуйте.
      27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
      Вложения:
      "unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
      Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
      ---
      Заранее благодарен за внимание к проблеме.
      Очень надеюсь на положительный результат.
      unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar
×
×
  • Создать...