phobos Поймали вирус-шифровальщик

[Dalex]

Поймали вирус-шифровальщик, прошу FRST.txtпомочь с расшифровкой файлов.

info.zip Addition.txt

[akoK]

Phobos. Для этого вымогателя пока нет способа дешифровки данных.

[Sandor]

@Dalex, сообщите, нужна ли помощь в очистке следов, если не планируете переустановку.

[Dalex]

Да

 

[Sandor]

Следующую операцию выполните в нормальном режиме (не в безопасном). Самого вымогателя уже нет и шифрование не продолжится.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  IFEO\wrsa.exe: [Debugger] C:\Windows\uddi.exe
  2022-12-15 08:49 - 2022-12-15 08:49 - 000005469 _____ C:\Users\Public\Desktop\info.hta
  2022-12-15 08:49 - 2022-12-15 08:49 - 000005469 _____ C:\Users\dalex\Desktop\info.hta
  2022-12-15 08:49 - 2022-12-15 08:49 - 000005469 _____ C:\info.hta
  2022-12-15 08:49 - 2022-12-15 08:49 - 000000194 _____ C:\Users\Public\Desktop\info.txt
  2022-12-15 08:49 - 2022-12-15 08:49 - 000000194 _____ C:\Users\dalex\Desktop\info.txt
  2022-12-15 08:49 - 2022-12-15 08:49 - 000000194 _____ C:\info.txt
  FirewallRules: [{F775F561-C68B-4A78-9B00-4815EA4A8B27}] => (Allow) LPort=1591
  FirewallRules: [{64CA2987-EE72-4012-BD17-6365601A889A}] => (Allow) LPort=1591
  FirewallRules: [{31D3DE99-DE64-4936-AB2B-CDFCF63FB044}] => (Allow) LPort=80
  FirewallRules: [{0973F53C-AB90-49E9-8647-95512BE4EAB8}] => (Allow) LPort=3389
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароль на учётную запись администратора смените.

[Dalex]

Fixlog.txt

[Sandor]

Возьмите на заметку - Рекомендации после удаления вредоносного ПО