Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Поймал вирус

baha
 Поделиться

Рекомендуемые сообщения

baha

baha

Опубликовано
Опубликовано

Добрый день. Зашифровали файлы с расширением QllsD3Soa, можете помочь?

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переместил вашу тему в подходящий раздел, в котором немного другие правила - Порядок оформления запроса о помощи

Выполните их тоже, пожалуйста.

Новую тему создавать не нужно, продолжайте здесь.

Sandor

Sandor

Опубликовано
Опубликовано

Пробуем определить тип вымогателя, некоторое время подождите.

 

Компьютер, на котором собирались логи, похоже не является источником заражения. Следов вымогателя не видно.

Но разрешения на порты

Цитата

FirewallRules: [{87B09971-FC1A-4DB1-8C24-AC9EBE8F5746}] => (Allow) LPort=475
FirewallRules: [{7305979C-9803-4AC1-BA69-43CB609B3677}] => (Allow) LPort=475


закройте.

Sandor

Sandor

Опубликовано
Опубликовано

Заражение давно произошло?

Переделайте, пожалуйста, логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

baha

baha

Опубликовано
  • Автор
Опубликовано

произошло сегодня в 2-3ч ночи

до этого лог вроде снимал за последние 60 дней, если не ошибаюсь

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, поищите ещё несколько зашифрованных документов популярных форматов. Возможно найдёте их незашифрованные оригиналы, их тоже прикрепите.

Sandor

Sandor

Опубликовано
Опубликовано

Архив

Цитата

C:\Users\Администратор\dirc.7z

вам известен?

baha

baha

Опубликовано
  • Автор
Опубликовано

Да. 
Нашел комп который был атакован. Сниму с него RST.txt и Addition.txt, и выложу

 

 

Это с компа который был атакован.
Пришло письмо с вложением от ФСПП с вирусом. На оф.сайте ФСПП есть уведомление о том, что от их имени отправляют письма с вирусами. Но, это я уже нашел после

Addition.txt FRST.txt

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Это CriptomanGizmo Ransomware. Расшифровки нет, к сожалению.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и не поддерживаемое ПО:
 

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\MountPoints2: {410c435f-624d-11ec-b996-f832e49f7c6c} - F:\HiSuiteDownLoader.exe
Task: {285951FC-288E-4D91-9763-DE5367B47783} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-12-09] (Adobe Inc. -> Adobe)
Task: {C263027E-7A2D-4F41-AA9D-031160734CBC} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe [1504312 2020-12-09] (Adobe Inc. -> Adobe)
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-911709941-1031200930-1611764957-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
2023-01-26 02:59 - 2023-01-26 02:59 - 004147254 _____ C:\ProgramData\QlIsD3SoA.bmp
2023-01-25 20:35 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:34 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Documents\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Documents\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\QlIsD3SoA.README.txt
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\QlIsD3SoA.bmp
FirewallRules: [{9C9E56BD-9A29-4786-82D5-D03FD53A7B83}] => (Allow) Z:\\tools\aria2c.exe => Нет файла
FirewallRules: [{1B87E31C-51B8-4B6F-8BC8-A22640A610CA}] => (Allow) LPort=1433
FirewallRules: [{223547E0-6174-40E4-9228-CD7C1910FE88}] => (Allow) LPort=1434
FirewallRules: [{A973A086-F351-4FF9-AF1A-A31D301A4991}] => (Allow) LPort=9422
FirewallRules: [{0B951C74-F184-4F5C-AE3D-C4F64B952AF7}] => (Allow) LPort=9245
FirewallRules: [{60AE8E82-9583-4AB5-B029-66E197122520}] => (Allow) LPort=9246
FirewallRules: [{4BAC5453-A052-4527-BB7C-B11B8715BAFB}] => (Allow) LPort=9247
FirewallRules: [{83FC79F5-E6A6-4657-955C-2E4C0DB2C9FB}] => (Allow) LPort=3702
FirewallRules: [{423F53E3-27CB-4D7B-BB94-071A1336495F}] => (Allow) LPort=9244
FirewallRules: [{9788A1F8-B5A9-4932-A1DF-DE3D5DC13F37}] => (Allow) LPort=9444
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zakhar05
      Поймали вчера вечером шифровальщик
      Автор Zakhar05
      Добрый день! Поймали (или ктото принес) шифровальщик, формат .FonOu4Mso.
      Текст письма:

      ВНИМАНИЕ!
      ----------------------------
      | Что случилось?
      ----------------------------
      Все ваши файлы, документы, фотографии, базы данных и другие данные зашифрованы надежными алгоритмами.
      Сейчас вы не можете получить доступ к файлам. Но не волнуйтесь. У вас есть шанс! Их легко восстановить, выполнив несколько шагов.
      ----------------------------
      | Как мне вернуть мои файлы?
      ----------------------------
      Единственный способ восстановить ваши файлы — приобрести уникальный приватный ключ, который надёжно хранится на наших серверах.
      Чтобы связаться с нами и приобрести ключ, напишите нам в мессенджер TOX.
      Инструкция:
      1) Скачать и установить мессенджер TOX - https://tox.chat/download.html
      2) Добавить нас в контакты, наш TOX ID - ECA7D8C2ECDF498A2F4E375BA17FE6341DE638A7A8DEC4F826061187DF901B277665A2B9A0E3
      3) После того как мы авторизируем ваш контакт, отправьте нам этот ID - ****
      ----------------------------
      | Что по поводу гарантий?
      ----------------------------
      Мы понимаем ваш стресс и беспокойство.
      Поэтому у вас есть БЕСПЛАТНАЯ возможность протестировать услугу, мгновенно расшифровав бесплатно три файла на вашем компьютере!
      Пишите по любым вопросам, наша поддержка вам тут же ответит, и поможет.
      С любовью, BELUGA Ransomware Team
       
      Зашифрованный файл и логи FRST прилагаю.
      Addition.txt FRST.txt product797.zip
    • imanushkin
      Lockbit с отложенным стартом
      Автор imanushkin
      24 октября потерял один комп с данными, затер полностью, но не учел тот факт что на компе были сохранены данные для входа в RDP.
      Вчера, 27.11 вирус шифровальщик запустился вновь, только уже в терминальной сессии пожрал там часть файлов к которым смог дотянуться, в том числе и сетевую шару примонтированную как сетевой диск. Теневые копии не сработали.
      Оставил послание, файл прикладываю.
       
      Файлы шифровальщика NS.exe, svchost.exe и wlan.exe по понятным причинам загрузить не могу.
      2E2h79m6S.README.txt Зашифрованные.rar
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Vitboss
      Вирус шифровальщик
      Автор Vitboss
      Утром наш сотрудник подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .KQpmP5XUV. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.
    • ДядяФедор
      Trojan-Ransom.Win32.Generic зашифрованы файлы данных
      Автор ДядяФедор
      Trojan-Ransom.Win32.Generic, зашифрованы файлы данных. Есть ли шанс на восстановление?Архив.zipAddition.txt
      FRST.txt
×
×
  • Создать...