Перейти к содержанию

Подцепил шифровальщик-вымогатель


Рекомендуемые сообщения

Здравствуйте!

Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.

Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

 

38 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, Sandor сказал:

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Понял, сделал.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Достаточно написать в нижнем поле быстрого ответа.

 

Сейчас отправлю личное сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Идет расшифровка и много уже расшифровал!!!))
Да некоторые файлы остались в зашифрованном сфайлы остались в зашифрованном состоянии.rarостоянии. Прикрепил архив с примером которые не расшифровал.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо большое! расшифровка идет хорошо!)👏

Осталось 73 файла которые не расшифровал.

остатки не расшифрованных файлов3.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • gentry
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • Бека-Алматы
      От Бека-Алматы
      Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем
      файл приложил 
      ЛОГИ и файлы.zip
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Melor
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
×
×
  • Создать...