Перейти к содержанию

Шифровальщик. [Raptorfiles@yahooweb.co].[AB3F62F5-F38B2CA6]

Vitaly9367
 Share Подписчики 1

Рекомендуемые сообщения

Vitaly9367

Vitaly9367 0

Опубликовано
Опубликовано (изменено)

Доброго времени суток. 

После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

Прикрепляю данные с двух серверов.

Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip

Изменено пользователем Vitaly9367
Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 131

Опубликовано
Опубликовано

Это Cryakl 2.0.0.0. Для этого вымогателя пока нет способа дешифровки данных. Системы под переустановку или будем смотреть?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Vitaly9367

Vitaly9367 0

Опубликовано
  • Автор
Опубликовано
21 час назад, akoK сказал:

Это Cryakl 2.0.0.0. Для этого вымогателя пока нет способа дешифровки данных. Системы под переустановку или будем смотреть?

Без переустановки. Надо подчистить его мусор и реестр желательно, если он что то вносил

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txt

Ссылка на сообщение
Поделиться на другие сайты
Vitaly9367

Vitaly9367 0

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txtНедоступно

Файл удален пишет.

Ссылка на сообщение
Поделиться на другие сайты
Vitaly9367

Vitaly9367 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Кто пишет? Файл Fixlog.txt не появился?

пишет такое сообщение


 

Извините, возникла проблема

Это вложение недоступно. Оно могло быть удалено или у вас недостаточно прав для просмотра данного файла.

Код ошибки: 2C171/1

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано

Если решите сохранить зашифрованные файлы "до лучших времен" (в надежде на появление ключа), то вместе с файлами сохраните папку C:\FRST. Там находятся копии удаленных записок с требованием выкупа.

 

04.07.2022 в 08:32, Vitaly9367 сказал:

После открытия RDP порта

Закрывайте или прячьте за VPN, а также смените пароли администраторов и для RDP.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • mixx
      [hopeandhonest@smime.ninja].[49D83541-06D7084C] вирус шифровальщик
      От mixx
      Просьба помочь с расшифровкой файлов после шифрователя.
      Зашифровали данные и бекапы. Систему будем переставлять. Еще есть зашифрованные и исходные файлы JPG,  но они больше 5 мб (не можем прикрепить)
      FRST.txtAddition.txt
      Зашифрованные файлы.rar
    • malex337
      hopeandhonest@smime.ninja[28A11195-F7636750]
      От malex337
      Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 
      Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.
      Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 
      На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.
      На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 
      Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.
      Нужна помощь. 
      1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?
      2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.
      До этого kes убивал все на подлете. 
       
      Addition.txt FRST.txt rial1c_выгрузки.zip
    • Vol2022
      Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.
      От Vol2022
      Доброго времени суток!
      Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]
       
      Помогите пожалуйста, что делать?
      Вирус пока сам не лечил не чем, windows не переустанавливал. 
      Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?
      файлы docx.rar
    • Huseyn
      hopeandhonest@smime.ninja
      От Huseyn
      Здравствуйте можете мне так же помочь с этим вопросом? 
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/174090-rasshifrovanohopeandhonestsmimeninja/  
    • mulya
      [РАСШИФРОВАНО]hopeandhonest@smime.ninja
      От mulya
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал файлы во всех сетевых папках!!!!
       
      Может можно что то сделать.  Сам зараж комп переустановил на чистый  диск. Вирусный снял.
      вирус.rar
×
×
  • Создать...