zeppelin Зашифровало zeppelin-ом

7 августа, 2022

Друзья. приветствую!
Пришла беда - вчера зашифровало всё что можно (и что нельзя).

На компе стоял KAV, от него не осталось и следа - вырубили и снесли.
В общем, хотелось бы как-то как-то расшифровать.
Пароль на архивы - 111, кроме самого ZEPPELIN, на него пароль не удалось поставить, т.к. его грохает свежеустановленый каспер и я боюсь потерять шифратор безвозвратно, а так, может, при его наличии есть надежда на восстановление.
В coded - пара закодированных фалов.

Addition.rar coded.rar FRST.rar Zeppelin.rar !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

8 августа, 2022

Здравствуйте!

К сожалению, расшифровки этого типа вымогателя нет.

Нужна ли помощь в очистке системы от его следов или будет переустановка системы?

7 часов назад, Evgeny Sergeev сказал:

может, при его наличии есть надежда на восстановление

Если вы ждёте официальный ответ от ЛК, напишите в тех-поддержку.

8 августа, 2022

1 час назад, Sandor сказал:

Здравствуйте!

К сожалению, расшифровки этого типа вымогателя нет.

Нужна ли помощь в очистке системы от его следов или будет переустановка системы?

Здравствуйте!
Да, нужна, хотелось бы очистить систему.

8 августа, 2022

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\53.0.8.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\53.0.8.0\GoogleDriveFS.exe --startup_mode (Нет файла)
Startup: C:\Users\e_zhukov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-06] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-08-06 18:42 - 2022-08-06 18:42 - 000001195 _____ C:\Windows\Tasks\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 18:29 - 2022-08-06 18:29 - 000001195 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 18:29 - 2022-08-06 18:29 - 000001195 _____ C:\Users\Public\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 18:20 - 2022-08-06 18:20 - 000001195 _____ C:\Users\e_zhukov\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 18:20 - 2022-08-06 18:20 - 000001195 _____ C:\Users\e_zhukov\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 17:38 - 2022-08-06 18:29 - 000001195 _____ C:\Users\e_zhukov\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 17:38 - 2022-08-06 17:38 - 000001195 _____ C:\Users\e_zhukov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 17:36 - 2022-08-06 18:20 - 000001195 _____ C:\Users\e_zhukov\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 17:36 - 2022-08-06 17:36 - 000001195 _____ C:\Users\e_zhukov\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 16:56 - 2022-08-06 18:22 - 000001195 _____ C:\Users\e_zhukov\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 16:56 - 2022-08-06 16:56 - 000001195 _____ C:\Users\e_zhukov\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 16:54 - 2022-08-06 16:54 - 000001195 _____ C:\Users\e_zhukov\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-06 16:52 - 2022-08-06 16:53 - 000001195 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
ShellIconOverlayIdentifiers: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
URLSearchHook: [S-1-5-21-3073143172-3438974988-628430415-1002] ВНИМАНИЕ => Стандартный URLSearchHook отсутствует
Toolbar: HKU\S-1-5-21-732481159-732099573-893126094-1376 -> Нет имени - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Нет файла
Toolbar: HKU\S-1-5-21-732481159-732099573-893126094-1376 -> Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} -  Нет файла
FirewallRules: [{6061F329-69CA-48F3-83C2-342A34CBD90F}] => (Allow) LPort=2869
FirewallRules: [{5E2F76C4-A0C9-4263-B2CC-0BE69D20E842}] => (Allow) LPort=1900
FirewallRules: [{536E8AAF-8B63-4431-8609-02909405297A}] => (Allow) LPort=5353
FirewallRules: [{6A461784-9D3B-4EA2-94D8-3AA2C0440158}] => (Allow) LPort=26675
FirewallRules: [{76A000DE-B38B-40EE-871C-7E184B35DFE3}] => (Allow) LPort=26675
FirewallRules: [{5BE16FB8-D01C-40E0-A999-E69456094120}] => (Allow) LPort=3702
FirewallRules: [{569A676D-1F59-4AE1-AC09-E5A8F764E148}] => (Allow) LPort=9244
FirewallRules: [{0BB270FB-8EEA-49E0-8AD9-661B46310444}] => (Allow) LPort=26675
FirewallRules: [{97F264A5-388E-4E1E-93D3-4BF1D8819BCA}] => (Allow) LPort=26675
FirewallRules: [{54202BC9-94C1-4F2E-B623-BBCE10CDCA8A}] => (Allow) LPort=4218
FirewallRules: [{EBA125B1-2A1A-4401-8496-9BBDDA5B85AD}] => (Allow) LPort=4218
FirewallRules: [{72EB6584-8672-42EF-9D4C-66F26BDCCBF1}] => (Allow) LPort=26675
FirewallRules: [{7CC23B73-0FF3-4766-917B-3901AC38749F}] => (Allow) LPort=26675
FirewallRules: [{A5BF7043-C2E4-4D28-860F-1A7F2ABD4477}] => (Allow) C:\Windows\dwrcs\DWRCS.EXE => Нет файла
FirewallRules: [{DAD2F20E-9897-4C17-AE53-D9316C9659B0}] => (Allow) LPort=26675
FirewallRules: [{807B3625-475B-4AB4-8C39-08C6801DDFE7}] => (Allow) LPort=26675
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

8 августа, 2022

Мне вот интересно, куда смотрел KAV, пока на компе шуровал этот zeppelin?

9 августа, 2022

Не исключён такой сценарий: злоумышленник, получив пароль администратора, проникает в систему, останавливает антивирус и запускает шифровальщик. Всё это делается вручную.

22 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Ждём.

9 августа, 2022

Вот, пасс 111.

Fixlog.rar

9 августа, 2022

Проверьте уязвимые места и устаревшее критическое ПО:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

9 августа, 2022

А как получить такой же код, как выше, для очистки других компьютеров?

9 августа, 2022

Компьютеров много?

Скрипт для Farbar Recovery Scan Tool пишется индивидуально.

А SecurityCheck можете запускать на любом ПК.

9 августа, 2022

Ещё три штуки.

9 августа, 2022

Создавайте для каждого отдельную тему и логи Farbar прикрепляйте.

Здесь выполните SecurityCheck и покажите результат.

9 августа, 2022

Отдельную тему для каждого?
А тут нельзя просто выложить три архива с логами?

9 августа, 2022

Создавайте отдельную во избежание путаницы.

zeppelin Зашифровало zeppelin-ом

Рекомендуемые сообщения

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Evgeny Sergeev

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum