Перейти к содержанию

Поймал вирус

baha
 Поделиться

Рекомендуемые сообщения

baha

baha

Опубликовано
Опубликовано

Добрый день. Зашифровали файлы с расширением QllsD3Soa, можете помочь?

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переместил вашу тему в подходящий раздел, в котором немного другие правила - Порядок оформления запроса о помощи

Выполните их тоже, пожалуйста.

Новую тему создавать не нужно, продолжайте здесь.

Sandor

Sandor

Опубликовано
Опубликовано

Пробуем определить тип вымогателя, некоторое время подождите.

 

Компьютер, на котором собирались логи, похоже не является источником заражения. Следов вымогателя не видно.

Но разрешения на порты

Цитата

FirewallRules: [{87B09971-FC1A-4DB1-8C24-AC9EBE8F5746}] => (Allow) LPort=475
FirewallRules: [{7305979C-9803-4AC1-BA69-43CB609B3677}] => (Allow) LPort=475


закройте.

Sandor

Sandor

Опубликовано
Опубликовано

Заражение давно произошло?

Переделайте, пожалуйста, логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

baha

baha

Опубликовано
  • Автор
Опубликовано

произошло сегодня в 2-3ч ночи

до этого лог вроде снимал за последние 60 дней, если не ошибаюсь

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, поищите ещё несколько зашифрованных документов популярных форматов. Возможно найдёте их незашифрованные оригиналы, их тоже прикрепите.

Sandor

Sandor

Опубликовано
Опубликовано

Архив

Цитата

C:\Users\Администратор\dirc.7z

вам известен?

baha

baha

Опубликовано
  • Автор
Опубликовано

Да. 
Нашел комп который был атакован. Сниму с него RST.txt и Addition.txt, и выложу

 

 

Это с компа который был атакован.
Пришло письмо с вложением от ФСПП с вирусом. На оф.сайте ФСПП есть уведомление о том, что от их имени отправляют письма с вирусами. Но, это я уже нашел после

Addition.txt FRST.txt

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Это CriptomanGizmo Ransomware. Расшифровки нет, к сожалению.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и не поддерживаемое ПО:
 

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\MountPoints2: {410c435f-624d-11ec-b996-f832e49f7c6c} - F:\HiSuiteDownLoader.exe
Task: {285951FC-288E-4D91-9763-DE5367B47783} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-12-09] (Adobe Inc. -> Adobe)
Task: {C263027E-7A2D-4F41-AA9D-031160734CBC} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe [1504312 2020-12-09] (Adobe Inc. -> Adobe)
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-911709941-1031200930-1611764957-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
2023-01-26 02:59 - 2023-01-26 02:59 - 004147254 _____ C:\ProgramData\QlIsD3SoA.bmp
2023-01-25 20:35 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:34 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Documents\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Documents\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\QlIsD3SoA.README.txt
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\QlIsD3SoA.bmp
FirewallRules: [{9C9E56BD-9A29-4786-82D5-D03FD53A7B83}] => (Allow) Z:\\tools\aria2c.exe => Нет файла
FirewallRules: [{1B87E31C-51B8-4B6F-8BC8-A22640A610CA}] => (Allow) LPort=1433
FirewallRules: [{223547E0-6174-40E4-9228-CD7C1910FE88}] => (Allow) LPort=1434
FirewallRules: [{A973A086-F351-4FF9-AF1A-A31D301A4991}] => (Allow) LPort=9422
FirewallRules: [{0B951C74-F184-4F5C-AE3D-C4F64B952AF7}] => (Allow) LPort=9245
FirewallRules: [{60AE8E82-9583-4AB5-B029-66E197122520}] => (Allow) LPort=9246
FirewallRules: [{4BAC5453-A052-4527-BB7C-B11B8715BAFB}] => (Allow) LPort=9247
FirewallRules: [{83FC79F5-E6A6-4657-955C-2E4C0DB2C9FB}] => (Allow) LPort=3702
FirewallRules: [{423F53E3-27CB-4D7B-BB94-071A1336495F}] => (Allow) LPort=9244
FirewallRules: [{9788A1F8-B5A9-4932-A1DF-DE3D5DC13F37}] => (Allow) LPort=9444
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
×
×
  • Создать...