Перейти к содержанию

Шифровальщик с расширением t4c2ewdqca


Рекомендуемые сообщения

Добрый день,

 

За эти выходные зашифровались файлы на сервере 1С, тестовом ноутбуке и NAS хранилище.

Зашифровались все файлы - офисные, системные, а также базы данных.

Ноутбук при перезагрузке не загружается, пишет, что не найдена ОС (логично, т.к. системные файлы в т.ч. зашифрованы и теперь имеют другое расширение).

1С сервер (win10 pro) не перезагружали. NAS QNAP TS-210

28112022.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Тип вымогателя N3ww4v3 Ransomware. К сожалению, расшифровки нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [systemi64.exe] => C:\Users\1C Server\AppData\Local\Instruction.txt [2143 2022-11-26] () [Файл не подписан]
    HKLM\...\Policies\system: [legalnoticecaption]  
    HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ ￐﾿￐ᄉ￑タ￐ᄉ￐ᄊ￐ᄌ￐ᄇ￐ᄚ￑ツ￑フ! 
    HKU\S-1-5-21-2166292853-3061830652-2962175116-1003\...\MountPoints2: {89efbeb4-060e-11ec-8a17-382c4ab0adfc} - "H:\OInstall.exe" 
    IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\TeamViewer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\TeamViewer_Service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\tv_w32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\tv_x64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
    2022-11-26 02:02 - 2022-11-26 02:02 - 000002143 _____ C:\Users\1C Server\Desktop\Instruction.txt
    2022-11-26 01:50 - 2022-11-26 02:01 - 000002143 _____ C:\Users\1C Server\AppData\Local\Instruction.txt
    2022-11-26 01:49 - 2022-11-26 02:02 - 000002143 _____ C:\Instruction.txt
    HKU\S-1-5-21-2166292853-3061830652-2962175116-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{BAD52B14-88CE-45AF-A43D-9B7E924697C6}] => (Allow) LPort=3389
    FirewallRules: [{6D1E0593-9B02-41A4-AFCA-9F12BFB0A32A}] => (Allow) LPort=1688
    FirewallRules: [TCP Query User{6A6E352B-E66A-498D-B09F-2B69A9F2190A}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
    FirewallRules: [UDP Query User{CADAE6A9-8144-43A5-A4B4-E27311D1B265}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хотел уточнить, прежде чем выполню действия выше, не приведет ли это к тому, что ОС не загрузится после перезагрузки ПК, т.к. системные файлы зашифрованы? 

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, alexanderppp сказал:

т.к. системные файлы зашифрованы

Как вы это определили? Покажите скриншотом.

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

Как вы это определили? Покажите скриншотом.

Не нашел следов шифрования и выполнил все по Вашей инструкции, антивирус перед началом отключил. 

После ребута на ПК, как и на ноутбуке ранее, черный экран с сообщением: 

An operating system wasn't found. Try disconnecting any drives that don't contain an operating system. 

Press Ctrl+Alt+Del to restart 

То есть все-таки вирус затронул системные файлы.

 

Fixlog.txt прикрепил

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Это странно, по логам ничего подобного не было видно. А фикс в том числе показал:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Попробуйте загрузиться с установочной флешки, войти в режим восстановления и попытаться исправить загрузку.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Usoff
      От Usoff
      Здравствуйте! Сегодня тоже подцепил шифровальщика, добавившего эти расширения. Требования содержаться в файле Instruction.txt:
      https://www.dropbox.com/s/h74n5yl9lcjkz6u/Instruction.PNG?dl=0
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Oleg_sour
      От Oleg_sour
      Доброго дня. Подскажите есть ли возможность расшифровать файлы после шифровальщика? Системный диск остался цел, зашифрованы файлы только на диске с общим доступом. А также подскажите пожалуйста алгоритм действий. Не совсем понятно имеется сам вирус на данном диске или он только зашифровал эти файлы? В архиве лог и два текстовых зашифрованный файла. Файлы с требованием выкупа и прочее не обнаружено. Пароль virus
      bighorseball.zip
    • Воробьёв Максим
      От Воробьёв Максим
      Имеем 2 сервера физический и виртуальный.
      С виртуального примерно осенью переезжали на физический.
      Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
      Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
      Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
      в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
       
      Addition.txt FRST.txt Профсоюзная.zip
    • Apael
      От Apael
      Добрый день. Предполагаем проникновение через RDP. Просьба помочь.
       
      1_8_CH1_20220514053309.avi
      Instruction.txt start cron1.txt
    • nsgdima
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
×
×
  • Создать...