Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

При авторизации в ОС выходит сообщение:

Внимание! Внимание! Внимание!

Добрый день. У Вас возникли сложности на работе?

Не стоит переживать, наши IT-специалисты помогут Вам.

Для этого напишите пожалуйста нам на почту.

 

Наш email - secure811@msgsafe.io

 

Хорошего и продуктивного дня!

 

Файлы .doc, .docx, .xlxs на ПК в наименовании добавилось расширение .private

Есть возможность расшифровать файлы?

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, это вариант Hakbit, расшифровки нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Ссылка на сообщение
Поделиться на другие сайты

Нет, бесплатная. Как правило, очистки достаточно. Видны только следы, сам вредонос был уже удалён.

Ссылка на сообщение
Поделиться на другие сайты

Помогите тогда с очисткой, попробую пока так. Спасибо за помощь! Вредонос был удален FRST64.exe - этой утилитой? Смены паролей пользователей тоже будет достаточно или порты на RDP поменять еще?

 

Извините за беспокойство, решили сносить систему. Будет повод очиститься от хлама. Еще раз спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Нет, он либо само удалился, либо был запущен вручную и вручную же удалён. Впрочем, нет, его обнаружил и удалил Защитник.

 

Поэтому да, пароли на учётные записи администратора и на подключение по RDP нужно сменить.

Само подключение по RDP следует прятать за VPN, а количество неверно набранных паролей ограничить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Winlogon: [LegalNoticeCaption] Внимание Внимание Внимание!
    HKLM\...\Winlogon: [LegalNoticeText] Добрый день. У Вас возникли сложности на работе?  - Не стоит переживать, наши IT-специалисты помогут Вам. - Для этого напишите пожалуйста нам на почту. - Наш email - secure811@msgsafe.io - Хорошего и продуктивного дня!
    HKLM\...\Policies\system: [legalnoticecaption] Внимание Внимание Внимание!
    HKLM\...\Policies\system: [legalnoticetext] Добрый день. У Вас возникли сложности на работе? 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-03-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-03-19] <==== ВНИМАНИЕ
    C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    FirewallRules: [{12F15012-C93D-45A3-929D-FEFDC29FECF2}] => (Allow) C:\Users\Админ\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{FB015395-6B0F-48FC-AE65-B8C3FD8EF91C}] => (Allow) C:\Users\Админ\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{7A318CAC-D515-48B9-AEE3-312C1935D80F}] => (Allow) C:\Users\Админ\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{160259E9-500E-48C7-9668-92063DA62085}] => (Allow) C:\Users\Админ\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{1A6CA250-8D75-46B4-A0DE-CD672A226759}] => (Allow) LPort=1433
    FirewallRules: [{614B45EF-43B7-4F55-AA45-9F07981A394F}] => (Allow) LPort=5130
    FirewallRules: [{E27CC839-16E1-43A6-A7C8-762856D857A4}] => (Allow) LPort=5130
    FirewallRules: [{D1BB8FCB-A883-4F34-9285-AEBFE569469F}] => (Allow) LPort=443
    FirewallRules: [{4D315696-1F58-499A-995B-307811D1F3DC}] => (Allow) LPort=10501
    FirewallRules: [{2DF3D07B-C92C-4CAA-91EB-0F6EA252EFA6}] => (Allow) LPort=10502
    FirewallRules: [{CA0DCE2A-7610-4BC4-B4D1-C953FFFF4AF5}] => (Allow) LPort=9000
    FirewallRules: [{CE7B0844-2E4D-4098-9650-5DC6427CB991}] => (Allow) LPort=9001
    FirewallRules: [{EFCFD24B-0C07-4F08-A579-86E7114C498A}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте устаревшее критическое ПО и уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.22 v.6.1.22 Внимание! Скачать обновления
FileZilla Client 3.46.3 v.3.46.3 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.0.8397 Внимание! Скачать обновления
TeamViewer 12.0.72365 v.12.0.72365 Внимание! Скачать обновления
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.099.0508.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Bandizip v.6.08 Внимание! Скачать обновления
Zoom v.5.7.8 (1247) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45952 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 15.2.0 v.15.2.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 56.0 (x64 ru) v.56.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • hehe
      От hehe
      Добрый день. Зашифровали все файлы на сервере, подскажите дешифровщик имеется уже для данного шифрования?
      Инструкция.txt 123.xlsx
    • Elnar
      От Elnar
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Для расшифровки данных:
      Напишите на почту - secure811@msgsafe.io
       
       *В письме указать Ваш личный идентификатор (Key Identifier)
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования

      KEYID: 
      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
       
    • 4awd
      От 4awd
      На компьютерах файлы зашифрованы с расширением .private
      Зашифровал до чего смог дотянуться.
      Doc/xsl/базы 1с
      Стоит антивирус касперский, которого шифровальщик благополучно отправил в спящий режим.
       
      На рабочем столе появился текстовый файл "Инструкция.txt"
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Для расшифровки данных:
      Напишите на почту - secure811@msgsafe.io
       
       *В письме указать Ваш личный идентификатор (Key Identifier)
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      arch.rar Addition.txt FRST.txt
    • kit_011
      От kit_011
      Добрый день. Поймали шифровальщика. Зашифровал файлы оконччания файлов [blackcat7@tuta.io].777. Сервер выключил сразу, логи дать не могу. Тело вируса тоже не нашел. Прикрепляю щашифрованные файлы и файл с контактами.
      2.pdf.[ID-F05D87A4].[blackcat7@tuta.io].rar decrypt_info.rar Бланк инвентаризации на 21.09.19 БАР Фабрика.xlsx.[ID-F05D87A4].[blackcat7@tuta.io].rar
    • Олег Манс
      От Олег Манс
      В ночь с 17.01 на 18.01 (0.51) сработал шифровальщик на сервере. Больше ничего не тронул. Судя по похожим ответам, "кина не будет", но...
       
       
      вирус.zip
×
×
  • Создать...