Перейти к содержанию

Зашифрованы файлы расширение *.7EuWSEZNK почта help@room155.online или room155@tuta.io

kazak89
 Share Подписчики 2

Рекомендуемые сообщения

kazak89

kazak89 0

Опубликовано
Опубликовано

Добрый день!

Главбух поймала шифровальщика через личную почту, была локальным админом (упущение предыдущего админа).

FRSTlogs.zip encrypted&ransom.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Если нужна помощь в очистке системы от его следов, переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора.

Цитата

Запущено с помощью nvkogut (ВНИМАНИЕ: Пользователь не является Администратором) на GLAVBUH-1 (04-04-2023 10:09:39)


 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ATTENTION
CHR HKU\S-1-5-21-1650525735-3052984447-2662663595-1246\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
2023-04-03 08:49 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\AppData\Roaming\7EuWSEZNK.README.txt
2023-04-03 08:49 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\AppData\LocalLow\7EuWSEZNK.README.txt
2023-04-03 08:49 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\AppData\7EuWSEZNK.README.txt
2023-04-03 08:48 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\Downloads\7EuWSEZNK.README.txt
2023-04-03 08:48 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\Documents\7EuWSEZNK.README.txt
2023-04-03 08:48 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\Desktop\7EuWSEZNK.README.txt
2023-04-03 08:48 - 2023-04-03 08:51 - 000001368 _____ C:\Users\nvkogut\7EuWSEZNK.README.txt
FirewallRules: [{A7AE4A47-D93F-4906-922C-0259892D5C81}] => (Allow) LPort=9247
FirewallRules: [{95DF7A7E-32F4-40DC-B1F5-C70045E015FA}] => (Allow) LPort=9246
FirewallRules: [{D5F5C5CF-02D6-4FE6-A19C-33CE4AA9E096}] => (Allow) LPort=9245
FirewallRules: [{AF9E0FD9-DB22-4DA2-B4C9-D3CC4FC2813C}] => (Allow) LPort=9422
FirewallRules: [{81406951-D5C2-48CB-AB5C-6685FF00DF86}] => (Allow) LPort=9247
FirewallRules: [{07CF7CD9-E86B-4EE8-830A-8C19DB1542B7}] => (Allow) LPort=9246
FirewallRules: [{4EEF6B5E-5167-472D-A861-08DB6A4CE9D3}] => (Allow) LPort=9245
FirewallRules: [{271EADB9-F321-45E7-B42C-BAC11C8B98AB}] => (Allow) LPort=9422
FirewallRules: [{693C10DE-7C44-4A2C-ABFF-7B371A7D8846}] => (Allow) C:\Users\user\AppData\Local\Temp\DriverPack-20200406141056\tools\aria2c.exe => No File
FirewallRules: [{258A11C0-4AD5-4867-8581-0760A31EA7A6}] => (Allow) LPort=1688
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Здравствуйте!

 

Ничего не поменялось. Но писать в чужих темах всё же не нужно, тем самым вы нарушаете правила раздела.

Закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Gennadiy89
      Зашифрованы файлы расширение "MZEM8GTPE" почта help@room155.online или room155@tuta.io
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • ASPIDWAR
      Поймал шифровальщик 9ebhyPlsg
      От ASPIDWAR
      Всем доброго времени суток. Поймал вирус шифровальщик через архив. Теперь все файлы перед форматом имеют расширение 9ebhyPlsg. Лог и прочие файлы прикладываю. Shif-Files - зашифрованный файл и файл с требованиями злоумышленников. С системой ничего не делал. Стоит Windows 7 X64
      Addition.txt FRST.txt Shif-files.zip
    • ruslan_dzusev
      Вирус защифровал все документы
      От ruslan_dzusev
      Добрый день, первый раз сталкиваюсь с таким видом вымогательства,так сказать дебьют... на компьютере вроде бы ничего левого не скачивал, но файлы зашифровались с расширением .bNch5yfLR даже не знаю прощаться с файлами или что-то можно сделать
      bNch5yfLR.README.txt FSS_PROD_CERT_2021.cer.rar
    • Ильнур Садыков
      Шифровальщик HEUR:Backdoor.MSIL.RRAT.gen
      От Ильнур Садыков
      Вирус шифровальщик пришел по почте, бухгалтер запустила. В прикрепе логи программы Farbar Recovery Scan Tool,файло сам вирус в Zip архиве (пароль 123456) и два зашифрованных файла. Прошу Вас помочь в расшифровке.
      ВИРУС.7z Addition.txt FRST.txt Desktop.7z
      Записка.txt
    • EXPO_savvin
      Поймали шифровальщика
      От EXPO_savvin
      Здравствуйте, поймали шифровальщика, зашифрованы файлы на компьютере жертвы и на сетевом диске (куда был доступ).
      Антивирус только встроенный на вин 10. 
      Можно ли что-то сделать?
      FRST.txtXcLxE89tJ.README.txtЗашифрованный файл.rarAddition.txt
×
×
  • Создать...