Перейти к содержанию

Подцепил шифровальщик-вымогатель


Рекомендуемые сообщения

Здравствуйте!

Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.

Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Ссылка на сообщение
Поделиться на другие сайты

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

 

38 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Понял, сделал.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Достаточно написать в нижнем поле быстрого ответа.

 

Сейчас отправлю личное сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Идет расшифровка и много уже расшифровал!!!))
Да некоторые файлы остались в зашифрованном сфайлы остались в зашифрованном состоянии.rarостоянии. Прикрепил архив с примером которые не расшифровал.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое! расшифровка идет хорошо!)👏

Осталось 73 файла которые не расшифровал.

остатки не расшифрованных файлов3.rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Дмитрий Блохин
      От Дмитрий Блохин
      Заявка на панельные ограждения.docx[hopeandhonest@smime.ninja].rar
       
      Поймали вирус. Помогите расшифровать.
    • Lucidlynx
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
    • Иван Баженов
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • LuckyMadbess
      От LuckyMadbess
      Помогите пожалуйста, попался шифровальщик, не успели его изолировать
      Новая сжатая ZIP-папка.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...