Перейти к содержанию

Шифровальщик с расширением t4c2ewdqca

alexanderppp
 Share Подписчики 2

Рекомендуемые сообщения

alexanderppp

alexanderppp 1

Опубликовано
Опубликовано

Добрый день,

 

За эти выходные зашифровались файлы на сервере 1С, тестовом ноутбуке и NAS хранилище.

Зашифровались все файлы - офисные, системные, а также базы данных.

Ноутбук при перезагрузке не загружается, пишет, что не найдена ОС (логично, т.к. системные файлы в т.ч. зашифрованы и теперь имеют другое расширение).

1С сервер (win10 pro) не перезагружали. NAS QNAP TS-210

28112022.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Здравствуйте!

 

Тип вымогателя N3ww4v3 Ransomware. К сожалению, расшифровки нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [systemi64.exe] => C:\Users\1C Server\AppData\Local\Instruction.txt [2143 2022-11-26] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ ￐﾿￐ᄉ￑タ￐ᄉ￐ᄊ￐ᄌ￐ᄇ￐ᄚ￑ツ￑フ! 
HKU\S-1-5-21-2166292853-3061830652-2962175116-1003\...\MountPoints2: {89efbeb4-060e-11ec-8a17-382c4ab0adfc} - "H:\OInstall.exe" 
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
2022-11-26 02:02 - 2022-11-26 02:02 - 000002143 _____ C:\Users\1C Server\Desktop\Instruction.txt
2022-11-26 01:50 - 2022-11-26 02:01 - 000002143 _____ C:\Users\1C Server\AppData\Local\Instruction.txt
2022-11-26 01:49 - 2022-11-26 02:02 - 000002143 _____ C:\Instruction.txt
HKU\S-1-5-21-2166292853-3061830652-2962175116-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{BAD52B14-88CE-45AF-A43D-9B7E924697C6}] => (Allow) LPort=3389
FirewallRules: [{6D1E0593-9B02-41A4-AFCA-9F12BFB0A32A}] => (Allow) LPort=1688
FirewallRules: [TCP Query User{6A6E352B-E66A-498D-B09F-2B69A9F2190A}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{CADAE6A9-8144-43A5-A4B4-E27311D1B265}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
alexanderppp

alexanderppp 1

Опубликовано
  • Автор
Опубликовано

Хотел уточнить, прежде чем выполню действия выше, не приведет ли это к тому, что ОС не загрузится после перезагрузки ПК, т.к. системные файлы зашифрованы? 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано
13 минут назад, alexanderppp сказал:

т.к. системные файлы зашифрованы

Как вы это определили? Покажите скриншотом.

Ссылка на сообщение
Поделиться на другие сайты
alexanderppp

alexanderppp 1

Опубликовано
  • Автор
Опубликовано
16 часов назад, Sandor сказал:

Как вы это определили? Покажите скриншотом.

Не нашел следов шифрования и выполнил все по Вашей инструкции, антивирус перед началом отключил. 

После ребута на ПК, как и на ноутбуке ранее, черный экран с сообщением: 

An operating system wasn't found. Try disconnecting any drives that don't contain an operating system. 

Press Ctrl+Alt+Del to restart 

То есть все-таки вирус затронул системные файлы.

 

Fixlog.txt прикрепил

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Это странно, по логам ничего подобного не было видно. А фикс в том числе показал:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Попробуйте загрузиться с установочной флешки, войти в режим восстановления и попытаться исправить загрузку.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Владимир В. А.
      Взлом по RDP и шифровка файлов
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      Зашифрованы файлы на нескольких машинах в сети
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      Нужна помощь в ликвидации шифровальщика PODSTAVLIAIPOPKU, расшифровка не нужна, есть бекап.
      От Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      Шифрование нового поколения PODSAVLIAIPOPKU, он же PANIN.
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      Шивровальщик "PANIN" на сервере
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
×
×
  • Создать...