Перейти к содержанию

нужна помощь с шифровальщиком raptorfiles@yahooweb

DMZ
 Поделиться

Рекомендуемые сообщения

DMZ

DMZ

Опубликовано
Опубликовано

добрый день, вот и я попался на шифровальщика. установил frst64 и сделал сканирование.

подскажите что можно сделать?

FRST.txt Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано

Примеры зашифрованных файлов и записку от вымогателей не прикрепили.

 

DMZ

DMZ

Опубликовано
  • Автор
Опубликовано

да я это уже понял( 

почистить бы то что зацепило. я так понимаю что зафированные файлы имеют расширение .dec?

 

DMZ

DMZ

Опубликовано
  • Автор
Опубликовано

#_HOW_TO_DECRYPT_#.TXT asd.rar

есть ощущение что шифровальщик сам не удалился, так как при подключении по рдп запускается и окно с вымоганием и командная строка.

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

C:\Users\RDPUser1\Documents\How_To_decrypt2000.hta
C:\Users\RDPUser1\Documents\How_To_decrypt1500.hta

еще эти пришлите

 

И если пользователь RDPUser1 не известен, то лучше учетку заблокировать.

 

Расшифровка вряд ли возможна. Мусор в системе чистим?

thyrex

thyrex

Опубликовано
Опубликовано

SpyHunter - бесполезная программа. Удалите ее через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1827588741-3676397655-1089604676-1053\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Maks\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1827588741-3676397655-1089604676-1053\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Maks\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1827588741-3676397655-1089604676-1053\...\RunOnce: [Uninstall 22.151.0717.0001\i386] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Maks\AppData\Local\Microsoft\OneDrive\22.151.0717.0001\i386" (Нет файла)
HKU\S-1-5-21-1827588741-3676397655-1089604676-1053\...\RunOnce: [Uninstall 22.151.0717.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Maks\AppData\Local\Microsoft\OneDrive\22.151.0717.0001" (Нет файла)
Startup: C:\Users\RDPUser1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How_To_decrypt2000.hta [2022-07-25] () [Файл не подписан]
Startup: C:\Users\RDPUser1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LogDelete.bat [2019-02-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Dmitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How_To_decrypt2000.hta [2022-07-25] () [Файл не подписан]
Startup: C:\Users\Dmitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LogDelete.bat [2019-02-14] () [Файл не подписан]
Startup: C:\Users\Pasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How_To_decrypt2000.hta [2022-07-25] () [Файл не подписан]
Startup: C:\Users\Pasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LogDelete.bat [2019-02-14] () [Файл не подписан]
2022-08-22 00:53 - 2019-02-14 18:00 - 000000063 _____ C:\Users\Dmitry\Documents\LogDelete.bat
2022-08-21 16:42 - 2022-08-21 18:35 - 039499261 _____ C:\Users\Pasha\Desktop\#_HOW_TO_DECRYPT_#.TXT
2022-08-22 00:54 - 2022-08-22 00:55 - 000141440 _____ C:\Users\Dmitry\Desktop\#_HOW_TO_DECRYPT_#.TXT
2022-08-22 00:54 - 2022-07-25 00:05 - 000006109 _____ C:\Users\Dmitry\Documents\How_To_decrypt2000.hta
2022-08-22 00:54 - 2022-07-25 00:04 - 000006109 _____ C:\Users\Dmitry\Documents\How_To_decrypt1500.hta
2022-08-21 16:41 - 2022-07-25 00:05 - 000006109 _____ C:\Users\Pasha\Documents\How_To_decrypt2000.hta
2022-08-21 16:41 - 2022-07-25 00:04 - 000006109 _____ C:\Users\Pasha\Documents\How_To_decrypt1500.hta
2022-08-21 16:41 - 2019-02-14 18:00 - 000000273 _____ C:\Users\Pasha\Documents\backup.bat
2022-08-21 16:41 - 2019-02-14 18:00 - 000000063 _____ C:\Users\Pasha\Documents\LogDelete.bat
2022-08-21 16:41 - 2018-06-09 11:01 - 000002158 _____ C:\Users\Pasha\Documents\del service.bat
2022-08-21 16:41 - 2018-06-09 11:01 - 000000028 _____ C:\Users\Pasha\Documents\Shadow.bat
2022-08-21 16:03 - 2022-07-27 20:15 - 000000013 _____ C:\Users\RDPUser1\Documents\New Text Document.txt
2022-08-21 16:03 - 2022-07-25 00:05 - 000006109 _____ C:\Users\RDPUser1\Documents\How_To_decrypt2000.hta
2022-08-21 16:03 - 2022-07-25 00:04 - 000006109 _____ C:\Users\RDPUser1\Documents\How_To_decrypt1500.hta
2022-08-21 16:03 - 2019-02-14 18:00 - 000000063 _____ C:\Users\RDPUser1\Documents\LogDelete.bat
2022-08-21 16:03 - 2018-06-09 11:01 - 000000028 _____ C:\Users\RDPUser1\Documents\Shadow.bat
2022-08-21 15:57 - 2022-08-21 16:02 - 000000000 ____D C:\Users\RDPUser2\Documents\restore rdp
FirewallRules: [{408472A6-C016-4BD3-B4BB-90D4A0FC03AF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{59B703D0-BEE3-46E8-8916-F198986000A6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{4D249741-0CE1-4003-9608-701BBBFF4B4E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{37CE9AA9-4380-488C-AB20-7BA19AB0EA3C}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили. Больше помочь нечем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Айдар Шарипов
      Нужна помощь с шифровальщиком elpaco-team
      Автор Айдар Шарипов
      05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
      Буду рад любому совету.
      FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt
    • Drugov
      Нужна помощь в ликвидации шифровальщика PODSTAVLIAIPOPKU, расшифровка не нужна, есть бекап.
      Автор Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • Сергей3300
      Нужна помощь с шифровальщиком elpaco team. Пожалуйста.
      Автор Сергей3300
      Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.
    • Vasiliy001
      .BlackBit шифровальщик - нужна помощь, есть ли варианты расшифровки?
      Автор Vasiliy001
      Шифровальщик поработал, помогите определить кто это и шансы на расшифровку какие.


       
       
      [decryptor@onionmail.com][A247AF21]Skype.lnk.BlackBit.7zRestore-My-Files.7z[decryptor@onionmail.com][A247AF21]1C Предприятие.lnk.BlackBit.7z[decryptor@onionmail.com][A247AF21]026A7895.JPG.BlackBit.7z
×
×
  • Создать...