hakbit Помощь в расшифровке *.private

[vvsirota]

Здравствуйте!

При авторизации в ОС выходит сообщение:

Внимание! Внимание! Внимание!

Добрый день. У Вас возникли сложности на работе?

Не стоит переживать, наши IT-специалисты помогут Вам.

Для этого напишите пожалуйста нам на почту.

 

Наш email - secure811@msgsafe.io

 

Хорошего и продуктивного дня!

 

Файлы .doc, .docx, .xlxs на ПК в наименовании добавилось расширение .private

Есть возможность расшифровать файлы?

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[vvsirota]

Файлы во вложении.

Примеры зашифрованных документов, файл с требованиями злоумышленников ОТСУТСТВУЕТ.zip Addition.txt FRST.txt

[Sandor]

Некоторое время подождите, пытаемся определить тип вымогателя.

[vvsirota]

Благодарю, жду.

 

[Sandor]

К сожалению, это вариант Hakbit, расшифровки нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

[vvsirota]

Это платная услуга? И что посоветуете, снести систему или очистки достаточно?

[Sandor]

Нет, бесплатная. Как правило, очистки достаточно. Видны только следы, сам вредонос был уже удалён.

[vvsirota]

Помогите тогда с очисткой, попробую пока так. Спасибо за помощь! Вредонос был удален FRST64.exe - этой утилитой? Смены паролей пользователей тоже будет достаточно или порты на RDP поменять еще?

 

Извините за беспокойство, решили сносить систему. Будет повод очиститься от хлама. Еще раз спасибо!

[Sandor]

Нет, он либо само удалился, либо был запущен вручную и вручную же удалён. Впрочем, нет, его обнаружил и удалил Защитник.

 

Поэтому да, пароли на учётные записи администратора и на подключение по RDP нужно сменить.

Само подключение по RDP следует прятать за VPN, а количество неверно набранных паролей ограничить.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Winlogon: [LegalNoticeCaption] Внимание Внимание Внимание!
  HKLM\...\Winlogon: [LegalNoticeText] Добрый день. У Вас возникли сложности на работе?  - Не стоит переживать, наши IT-специалисты помогут Вам. - Для этого напишите пожалуйста нам на почту. - Наш email - secure811@msgsafe.io - Хорошего и продуктивного дня!
  HKLM\...\Policies\system: [legalnoticecaption] Внимание Внимание Внимание!
  HKLM\...\Policies\system: [legalnoticetext] Добрый день. У Вас возникли сложности на работе? 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-03-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-03-19] <==== ВНИМАНИЕ
  C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  FirewallRules: [{12F15012-C93D-45A3-929D-FEFDC29FECF2}] => (Allow) C:\Users\Админ\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{FB015395-6B0F-48FC-AE65-B8C3FD8EF91C}] => (Allow) C:\Users\Админ\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{7A318CAC-D515-48B9-AEE3-312C1935D80F}] => (Allow) C:\Users\Админ\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{160259E9-500E-48C7-9668-92063DA62085}] => (Allow) C:\Users\Админ\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{1A6CA250-8D75-46B4-A0DE-CD672A226759}] => (Allow) LPort=1433
  FirewallRules: [{614B45EF-43B7-4F55-AA45-9F07981A394F}] => (Allow) LPort=5130
  FirewallRules: [{E27CC839-16E1-43A6-A7C8-762856D857A4}] => (Allow) LPort=5130
  FirewallRules: [{D1BB8FCB-A883-4F34-9285-AEBFE569469F}] => (Allow) LPort=443
  FirewallRules: [{4D315696-1F58-499A-995B-307811D1F3DC}] => (Allow) LPort=10501
  FirewallRules: [{2DF3D07B-C92C-4CAA-91EB-0F6EA252EFA6}] => (Allow) LPort=10502
  FirewallRules: [{CA0DCE2A-7610-4BC4-B4D1-C953FFFF4AF5}] => (Allow) LPort=9000
  FirewallRules: [{CE7B0844-2E4D-4098-9650-5DC6427CB991}] => (Allow) LPort=9001
  FirewallRules: [{EFCFD24B-0C07-4F08-A579-86E7114C498A}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[vvsirota]

Выполнил, лог во вложении.

Fixlog.txt

[Sandor]

Проверьте устаревшее критическое ПО и уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[vvsirota]

Добрый день! Лог во вложении.

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.22 v.6.1.22 Внимание! Скачать обновления
FileZilla Client 3.46.3 v.3.46.3 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.0.8397 Внимание! Скачать обновления
TeamViewer 12.0.72365 v.12.0.72365 Внимание! Скачать обновления
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.099.0508.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Bandizip v.6.08 Внимание! Скачать обновления
Zoom v.5.7.8 (1247) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45952 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 15.2.0 v.15.2.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 56.0 (x64 ru) v.56.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО