Перейти к содержанию
Расширяем границы! Вступаем в глобальный Kaspersky Club

шифровальщик [fileraptor@protonmail.com].[1343ADAF-CE7CF15F]

SciFi_
 Share Подписчики 2

Рекомендуемые сообщения

SciFi_

SciFi_ 0

Опубликовано
Опубликовано

Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).

все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.

 

Addition.txt FRST.txt EncryptedFiles.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1016

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью Юра (ВНИМАНИЕ: Пользователь не является Администратором)

 

Ссылка на сообщение
Поделиться на другие сайты
SciFi_

SciFi_ 0

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы, переделайте логи, запустив программу правой кнопкой от имени администратора

 

пока прошелся сканированием через kvrt и eset. Если дадите еще какие советы, буду благодарен, заранее спасибо!

archive.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1016

Опубликовано
Опубликовано

Архив с отчетом из папки C:\KVRT2020_Data прикрепите, пожалуйста.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2022-06-14 09:01 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Downloads\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\Desktop\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-14 09:00 - 2022-06-12 19:39 - 000013919 _____ C:\Users\oper\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Downloads\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\Documents\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 20:10 - 2022-06-12 20:10 - 000013919 _____ C:\how_to_decrypt.hta
2022-06-12 20:07 - 2022-06-12 20:07 - 000013919 _____ C:\Users\Юра\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:42 - 2022-06-12 19:42 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:41 - 2022-06-12 19:41 - 000013919 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\LocalLow\how_to_decrypt.hta
2022-06-12 19:39 - 2022-06-12 19:39 - 000013919 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-12 19:38 - 2022-06-12 19:38 - 000013919 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-12 19:35 - 2022-06-12 19:35 - 000013919 _____ C:\Users\how_to_decrypt.hta
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Burkhanov
      Raptorfiles@yahooweb.co Новый вирус вымогатель
      От Burkhanov
      Доброго времени суток, словили вымогатель, скорее всего через RDP протокол.
      Файлы сканирование прилагаю.
      Addition.txt FRST.txt virus.rar
    • borekydan
      Поймал crylock 2.0
      От borekydan
      Помогите с расшифровкой файлов пожалуйста. Вечером обнаружил что файлы в каталогах пошифрованы и везде раскидан how to encrypt. RDP за впном. 
      crypted_files.rar frst.rar
      how_to_decrypt.rar
    • AndreyEse
      Шифровальщик зашифровал на сервере все файлы recuper@smime.ninja / restaurera@rbox.co
      От AndreyEse
      Добрый день, файлы прикладываю:
      2 файла зашифрованных
      1 файл с требованием выкупа
      2 файла отчета программы "FRST64"
       
      Файл самого шифровальщика я не нашел (не знаю как искать) 
       
      Все файлы в архиве 
       
      Прошу помощи. 
      Шифровальщик.rar
    • Дмитри
      Можно ли расшифровать файлы.
      От Дмитри
      Добры день, возможно ли расшифровать данные файлы после шифровальщика TableAPU3.cds.bin
      TableAPU3.cds.rar
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • boris_b
      Шифровальщик l27lb26@BLOCKED
      От boris_b
      Добрый день.
      Есть ли дешифратор на подобный тип шифровальщика?
      Подхватил пока был включен RDP
       
       
      files.zip Addition.txt FRST.txt
×
×
  • Создать...