Перейти к содержанию
Пройди опрос про новый продукт, получи приз

Шифровальщик с расширением .EXTEN

nickoff
 Share Подписчики 1

Рекомендуемые сообщения

nickoff

nickoff 0

Опубликовано
Опубликовано

Всем привет!

 

12 июня, подхватил шифровальщик с расширением .EXTEN. Тело вируса не поймал. Помогите идентифицировать

Addition.txt FRST.txt Documents.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 165

Опубликовано
Опубликовано

Здравствуйте!

 

Это Conti. К сожалению, расшифровки нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 165

Опубликовано
Опубликовано

Она основана на предоставленных логах.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-606747145-688789844-1202660629-1119\...\Run: [Prostoy.Ru] => C:\Program Files (x86)\Prostoy.Ru\prostoy.exe (Нет файла)
HKU\S-1-5-21-606747145-688789844-1202660629-1119\...\Run: [McAfeeSafeConnect] => C:\Program Files (x86)\McAfee Safe Connect\McAfee Safe Connect.exe (Нет файла)
HKU\S-1-5-21-606747145-688789844-1202660629-1119\...\Run: [movavi_suite_agent] => "C:\Users\zotova\AppData\Roaming\Movavi Video Suite 21\AgentInformer.exe" (Нет файла)
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-606747145-688789844-1202660629-1119\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
CHR HKLM-x32\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
U3 aswbdisk; отсутствует ImagePath
U3 aswblog; отсутствует ImagePath
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\zotova\AppData\Roaming\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\zotova\AppData\LocalLow\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\zotova\AppData\Local\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\AppData\Roaming\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\AppData\LocalLow\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\AppData\Local\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\AppData\Roaming\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\AppData\LocalLow\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\AppData\Local\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\AppData\Roaming\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\AppData\LocalLow\readme.txt
2022-06-12 06:01 - 2022-06-12 06:01 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\AppData\Local\readme.txt
2022-06-12 06:00 - 2022-06-12 06:00 - 000016396 _____ C:\Users\mm_user\AppData\Roaming\readme.txt
2022-06-12 06:00 - 2022-06-12 06:00 - 000016396 _____ C:\Users\mm_user\AppData\LocalLow\readme.txt
2022-06-12 06:00 - 2022-06-12 06:00 - 000016396 _____ C:\Users\mm_user\AppData\Local\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\zotova\Downloads\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\zotova\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\zotova\AppData\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\Downloads\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\AppData\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\Public\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\Downloads\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\AppData\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\Downloads\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\AppData\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\mm_user\Documents\readme.txt
2022-06-12 05:57 - 2022-06-12 05:57 - 000016396 _____ C:\Users\mm_user\AppData\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\zotova\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\zotova\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\ReportServer$SQLEXPRESS2012\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\Public\readme.txt
2022-06-12 05:55 - 2022-06-12 05:55 - 000016396 _____ C:\Users\Public\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS2012\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\MSSQL$SQLEXPRESS2012\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\mm_user\readme.txt
2022-06-12 05:54 - 2022-06-12 05:54 - 000016396 _____ C:\Users\mm_user\readme.txt
2022-06-12 05:34 - 2022-06-12 05:34 - 000016396 _____ C:\Program Files\Common Files\readme.txt
2022-06-12 05:33 - 2022-06-12 05:33 - 000016396 ____C C:\readme.txt
2022-06-12 05:33 - 2022-06-12 05:33 - 000016396 ____C C:\Program Files\readme.txt
2022-06-12 05:33 - 2022-06-12 05:33 - 000016396 _____ C:\Program Files (x86)\readme.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{807B4C14-4023-4CF3-8091-B8F657A611A4}] => (Allow) LPort=8501
FirewallRules: [{FF4BD4C1-6321-44E1-A8D8-3598AD5CD7C7}] => (Allow) LPort=8501
FirewallRules: [{78F88682-4AC7-4F5A-A8F2-C3B7199B310E}] => (Allow) LPort=8502
FirewallRules: [{0A786654-13E3-4723-943F-1966137AA88A}] => (Allow) LPort=8502
FirewallRules: [{1A817200-A8D4-4218-9414-D9F9A99FAC96}] => (Allow) LPort=8503
FirewallRules: [{BF5B3545-2C08-4470-8CD3-31CF6D837822}] => (Allow) LPort=8503
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Антивирус нужно обновить до актуальной версии.

Пароли администратора, на подключение по RDP и Anydesk смените.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Shk
      Поймали шифровальщик [hopeandhonest@smime.ninja]
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • Andrey-irk
      Шифровальщик. DR WEB сообщил, что это Trojan.Encoder.37400
      От Andrey-irk
      Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?
      Addition.txt FRST.txt virus_pass_123321.zip
    • Batriv
      Шифровальщик Cylance Ransomware
      От Batriv
      Все файлы на компьютере были зашифрованы, в том числе бекапы сервера и сайта. Вот сообщения от злоумышленника:
      [[=== Cylance Ransomware ===]]
      [+] What's happened?
      All your files are encrypted, and currently unsable, but you need to follow our instructions. otherwise, you cant return your data (NEVER).
      [+] What guarantees?
      Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
      To check the ability of returning files, we decrypt one file for free. That is our guarantee.
      If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.
      [+] How to cantact with us?
      Please write an email to: D4nte@onionmail.org and Backup@cyberfear.com
       
      !!! DANGER !!!
      DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.
      !!! !!! !!!
      ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
      !!! !!! !!!
       
      Прикрепляю зашифрованный файл.
      fmyKDt7uBYs.jpg.Cylance.7z
    • adm-viktor
      Шифровальщик BlackHunt
      От adm-viktor
      Здравствуйте вирус-шифровальщик зашифровал все файлы и перевёл в формат Hunt2 (пример: userDocs_ru.bin.[Wfqm4dD2j6MkMkTB].[dec.station@onionmail.org].Hunt2), но мне нужна только база 1С можно ли расшифровать?

      BlackHunt.zip
    • igort2
      Зашифровали все файлы xhelpfile@cyberfear.com
      От igort2
      Помогите. Зашифровали все файлы.
      Систему переустановлю самостоятельно, лечение не требуется.
      FiThvDeDI.README.txt FRST.txt Addition.txt Files.rar
×
×
  • Создать...