Перейти к содержанию
Задай вопрос Дмитрию Галову!

Словил шифровальщика, похоже на CryLock адрес вымогателя fileraptor@protonmail.com

Vitali
 Share Подписчики 2

Рекомендуемые сообщения

Vitali

Vitali 0

Опубликовано
Опубликовано

Прошу помочь почистить систему и если есть возможность расшифровать файлы. 
Прикрепляю зашифрованный файл и файл вымогателя. 
И какие данные вам еще скинуть?
Как почистить систему? 

Ссылка на сообщение
Поделиться на другие сайты
Vitali

Vitali 0

Опубликовано
  • Автор
Опубликовано

Деньги прописью.xls[fileraptor@protonmail.com].rar Цифры прописью.xls[fileraptor@protonmail.com].rar

 

Файл вымогателя 

how_to_decrypt.rar

 

FRST64 - отчет прикрепляю. Вроде по инструкции все сделал. 
Интересует версия и есть ли от этого дешифратор?

Я так понимаю это: Trojan.Encoder.567

1.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1013

Опубликовано
Опубликовано

Скорее всего был взлом RDP, поэтому обязательно смените пароли и при использовании такого типа подключения, прячьте его за VPN. Пароль на учетную запись администратора тоже рекомендуется сменить.

 

6 часов назад, Vitali сказал:

Касперский - ничего не нашел =(

Вы ведь установили антивирус после заражения. Вот если бы он стоял до, с большой долей вероятности предположу, что этого бы не случилось.

 

 

Кое-что исправим и почистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{07AC4D19-B64F-4CBE-A495-34D1A057B66D}] => (Allow) LPort=50056
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Asvard
      Шифровальшик [fileraptor@protonmail.com].[9264E242-0C933EA0]
      От Asvard
      Заразился windows server 2008r2, пока неизвестно по какой причине. Зашифровал на себе почти всё и куда смог дотянуться по сети к общему доступу других компьютеров.
      Во вложении так же оригинал одного из зашифрованных файлов.

      files.7z FRST_14-06-2022 13.09.50.txt Addition_14-06-2022 13.09.50.txt
    • SciFi_
      шифровальщик [fileraptor@protonmail.com].[1343ADAF-CE7CF15F]
      От SciFi_
      Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).
      все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.
       
      Addition.txt FRST.txt EncryptedFiles.rar
    • maksim gerasimov
      [hopeandhonest@smime.ninja].[00E014E0-C4900948] как расшифровать файл
      От maksim gerasimov
      поймал вирус на сервере файл зашифрован резервные копии были  на этом же компьютере.как можно расшифровать помогите 
    • Less
      Зашифрованы файлы Trojan-Ransom.Win32.Cryakl
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Алексейtime
      [hopeandhonest@smime.ninja].[49F88538-0B6E27CB]
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
×
×
  • Создать...