Перейти к содержанию

Шифровальщик с расширением .SanxK6eaA

avkor66
 Share

Рекомендуемые сообщения

avkor66 Новичок

avkor66

Опубликовано
Опубликовано

Доброго дня всем форумчанам!

 

Настигла беда, поймали шифровальщик на рабочий сервер, зашифровал все текстовые документы, изображения, базы данных 1С и прочее, все файлы с расширением ".SanxK6eaA"

Пршлись по каждой папке, в каждой папке оставили файл с информацией о выкупе "SanxK6eaA.README.txt" с просьбой связаться по электронному адресу: mrbroock@msgsafe.io 

Просят 1000$ и дают непонятные гарантии.

Kaspersky Internet Security нашел один вирус: "HEUR:Trojan.Multi.Runner.y"  не знаю, относится он к шифровальщикам или нет, не знаю.

 

Сориентируйте пожалуйста по дальнейшим действиям

В приложении файлы зашифрованные, незашифрованные, требования, логи.

Заранее спасибо.

virus.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\RunOnce: [UnKIS] => wscript.exe //b C:\Users\5BC8~1\AppData\Local\Temp\UnKIS.vbs (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {30090f0e-f875-11e5-aab7-00e012345678} - E:\AUTORUN.EXE
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {6a85d54f-5b2a-11e3-b78b-00e012345678} - E:\SISetup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1002\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1002\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1003\...\Run: [amigo] => C:\Users\Гость5\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1003\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {30090f0e-f875-11e5-aab7-00e012345678} - E:\AUTORUN.EXE
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1010\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1010\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\CurrentVersion\Windows: [Load] C:\Users\FBD0~1\AppData\Roaming\MICROS~1\Windows\TEMPLA~1\COLORM~1\COLORM~1.LNK <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {AB419FEF-EE6F-4EBC-A53A-CC151074A93C} - System32\Tasks\AdguardUpdater => C:\Program Files (x86)\Adguard\Adguard.exe (Нет файла)
Task: {CC0EE371-A337-44F5-986B-261B1CC7D1ED} - System32\Tasks\{7E1292DA-5A1A-46BE-98A8-7673E75F9872} => C:\Program Files (x86)\Attractel\Zoiper\Zoiper.exe (Нет файла)
HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,192.168.1.1,-1]
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl]
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Local\Apps\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Downloads\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Documents\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Desktop\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Downloads\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Documents\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Desktop\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:47 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:47 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:46 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\SanxK6eaA.README.txt
2022-12-05 15:46 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Downloads\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Documents\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Desktop\SanxK6eaA.README.txt
2022-12-05 15:44 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\SanxK6eaA.README.txt
2022-12-05 15:42 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:42 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Desktop\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:40 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Documents\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Downloads\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Documents\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Desktop\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Downloads\SanxK6eaA.README.txt
2022-12-05 15:32 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:32 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Documents\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Desktop\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:28 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\SanxK6eaA.README.txt
2022-12-05 15:28 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Downloads\SanxK6eaA.README.txt
2022-12-05 15:26 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:26 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Downloads\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Documents\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Desktop\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:21 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:21 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:20 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\SanxK6eaA.README.txt
2022-12-05 15:20 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Downloads\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Documents\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Desktop\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\Downloads\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\Documents\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Downloads\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Documents\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Desktop\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Downloads\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Documents\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Desktop\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\SanxK6eaA.README.txt
FirewallRules: [{CA7E6175-C9C1-465C-8255-D67E47AEF9C7}] => (Allow) LPort=2221
FirewallRules: [{121C6EC8-0A1D-4FCA-96BD-A25D5317E214}] => (Allow) LPort=50248
FirewallRules: [{B3DC38F6-C4EB-45F7-AE54-FA2264929AA3}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Croony
      Через RDP шифровальщик с расширением .frank
      От Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
×
×
  • Создать...