Перейти к содержанию

Шифровальщик с расширением .SanxK6eaA

avkor66
 Поделиться

Рекомендуемые сообщения

avkor66 Новичок

avkor66

Опубликовано
Опубликовано

Доброго дня всем форумчанам!

 

Настигла беда, поймали шифровальщик на рабочий сервер, зашифровал все текстовые документы, изображения, базы данных 1С и прочее, все файлы с расширением ".SanxK6eaA"

Пршлись по каждой папке, в каждой папке оставили файл с информацией о выкупе "SanxK6eaA.README.txt" с просьбой связаться по электронному адресу: mrbroock@msgsafe.io 

Просят 1000$ и дают непонятные гарантии.

Kaspersky Internet Security нашел один вирус: "HEUR:Trojan.Multi.Runner.y"  не знаю, относится он к шифровальщикам или нет, не знаю.

 

Сориентируйте пожалуйста по дальнейшим действиям

В приложении файлы зашифрованные, незашифрованные, требования, логи.

Заранее спасибо.

virus.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\RunOnce: [UnKIS] => wscript.exe //b C:\Users\5BC8~1\AppData\Local\Temp\UnKIS.vbs (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {30090f0e-f875-11e5-aab7-00e012345678} - E:\AUTORUN.EXE
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {6a85d54f-5b2a-11e3-b78b-00e012345678} - E:\SISetup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1000\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1002\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1002\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1003\...\Run: [amigo] => C:\Users\Гость5\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1003\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {30090f0e-f875-11e5-aab7-00e012345678} - E:\AUTORUN.EXE
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1009\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1010\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1010\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\CurrentVersion\Windows: [Load] C:\Users\FBD0~1\AppData\Roaming\MICROS~1\Windows\TEMPLA~1\COLORM~1\COLORM~1.LNK <==== ВНИМАНИЕ
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\MountPoints2: {53818e45-b12f-11e6-907e-00e012345678} - E:\Setup.exe
HKU\S-1-5-21-2494317744-3871439037-3049608339-1012\...\MountPoints2: {e908a066-03bd-11ec-b744-00e012345678} - F:\HiSuiteDownLoader.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {AB419FEF-EE6F-4EBC-A53A-CC151074A93C} - System32\Tasks\AdguardUpdater => C:\Program Files (x86)\Adguard\Adguard.exe (Нет файла)
Task: {CC0EE371-A337-44F5-986B-261B1CC7D1ED} - System32\Tasks\{7E1292DA-5A1A-46BE-98A8-7673E75F9872} => C:\Program Files (x86)\Attractel\Zoiper\Zoiper.exe (Нет файла)
HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,192.168.1.1,-1]
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
C:\Users\Сашенька\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl]
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Local\Apps\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Downloads\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Documents\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\Desktop\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\DefaultAppPool\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Downloads\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Documents\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\Desktop\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:48 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Audit7\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:47 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:47 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:46 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\SanxK6eaA.README.txt
2022-12-05 15:46 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Downloads\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Documents\SanxK6eaA.README.txt
2022-12-05 15:45 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\Desktop\SanxK6eaA.README.txt
2022-12-05 15:44 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User\SanxK6eaA.README.txt
2022-12-05 15:42 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:42 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Desktop\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\SanxK6eaA.README.txt
2022-12-05 15:41 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:40 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Documents\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Downloads\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Documents\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\Desktop\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Бухгалтер\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\SanxK6eaA.README.txt
2022-12-05 15:39 - 2022-12-05 15:11 - 000001113 _____ C:\Users\User1\Downloads\SanxK6eaA.README.txt
2022-12-05 15:32 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:32 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Documents\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Desktop\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\SanxK6eaA.README.txt
2022-12-05 15:29 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:28 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\SanxK6eaA.README.txt
2022-12-05 15:28 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Гость5\Downloads\SanxK6eaA.README.txt
2022-12-05 15:26 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:26 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Downloads\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Documents\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\Desktop\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\SanxK6eaA.README.txt
2022-12-05 15:24 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Елена\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:21 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:21 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:20 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\SanxK6eaA.README.txt
2022-12-05 15:20 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Downloads\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Documents\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\Desktop\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Лёля\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\Downloads\SanxK6eaA.README.txt
2022-12-05 15:16 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Женечка\Documents\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Downloads\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Documents\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\Desktop\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:12 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Машенька\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Downloads\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Documents\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\Desktop\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\Roaming\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\LocalLow\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\Сашенька\AppData\Local\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\Users\SanxK6eaA.README.txt
2022-12-05 15:11 - 2022-12-05 15:11 - 000001113 _____ C:\SanxK6eaA.README.txt
FirewallRules: [{CA7E6175-C9C1-465C-8255-D67E47AEF9C7}] => (Allow) LPort=2221
FirewallRules: [{121C6EC8-0A1D-4FCA-96BD-A25D5317E214}] => (Allow) LPort=50248
FirewallRules: [{B3DC38F6-C4EB-45F7-AE54-FA2264929AA3}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Kataomi_3232
      [РЕШЕНО] Неизвестное расширение в Google Chrome.
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
×
×
  • Создать...