Перейти к содержанию

шифровальщик [fileraptor@protonmail.com].[1343ADAF-CE7CF15F]

SciFi_
 Share

Рекомендуемые сообщения

SciFi_ Новичок

SciFi_

Опубликовано
Опубликовано

Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).

все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.

 

Addition.txt FRST.txt EncryptedFiles.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью Юра (ВНИМАНИЕ: Пользователь не является Администратором)

 

Ссылка на комментарий
Поделиться на другие сайты
SciFi_ Новичок

SciFi_

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

 

пока прошелся сканированием через kvrt и eset. Если дадите еще какие советы, буду благодарен, заранее спасибо!

archive.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Архив с отчетом из папки C:\KVRT2020_Data прикрепите, пожалуйста.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2022-06-14 09:01 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Downloads\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Desktop\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Downloads\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Documents\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\how_to_decrypt.hta
2022-06-12 20:07 - 2022-06-12 20:07 - 000013919 _____ C:\Users\Юра\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:42 - 2022-06-12 19:42 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-12 19:38 - 2022-06-12 19:38 - 000013919 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:35 - 2022-06-12 19:35 - 000013919 _____ C:\Users\how_to_decrypt.hta
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      Шифровальщик BlackBit
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • kiso
      Шифровальщик 1C-FILES
      От kiso
      Добрый день, во такого "друга" поймали. Можно что-то предпринять? 
      11.rar FRST_27-12-2024 20.52.38.txt
×
×
  • Создать...