Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Hi,

 

This morning I got infected by DM7X4LO. So many of my files have extension DM7X4LO

 

I got some messages like below:

 

Data on Your network was exfiltrated and encrypted.

Modifying encrypted files will result in permanent data loss!

Get in touch with us ASAP to get an offer:
1. Download and install Tor Browser from https://www.torproject.org/
2. Access User Panel at 
   

THIS IS YOUR PRIVATE USER PANEL ADDRESS, DO NOT SHARE IT WITH ANYONE!

See also:
  Visit our Blog: http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion
  Social Media: https://twitter.com/search?q=%23alphv
  
Ÿ¤G"ø´%g%VÅÄg¼3ºþ"‰¤6-TÇŠÌ=æ c

 

kindly advise,

 

How to resolve this

 

Regards,

Ivan

Изменено пользователем Iwan Herdian
Опубликовано

Thank you for the logs.

I see several text files with random name:

Цитата

 

C:\Users\SONIA1437\8Rx3Ia6FGzncWG.txt

C:\Users\ksnproxy\v2iFUiRcIM7u4.txt

...

C:\ProgramData\fGveaffwPUsu8Cjg9L6RBlcfOivVU.txt

C:\MvU0Mr68S99BKWd0FCsheR.txt

 

Is that the same ransom note?

If so, please attach it also to your next message and we'll try to identify the ransom itself.

 

You have Kaspersky Endpoint Security for Windows installed, so you can ask the tech support directly via your Company Account.

Опубликовано (изменено)
  • Turn off antivirus until reboot.
  • Highlight following code:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\Users\020001437\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Task: {7FA88F2E-253D-461D-B328-2C9797DE17DE} - System32\Tasks\google_update => cmd.exe /c \\sonia.net\netlogon\xxx.exe 0hzlY -JmmQ0 -blk -fFAjpN24WLXkg7owTMas1O_fJPk -BR -rvi12 -u_W5fs -KP6qIH <==== ATTENTION
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\SONIA1437\8Rx3Ia6FGzncWG.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ksnproxy\v2iFUiRcIM7u4.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\DefaultAppPool\txXVP5yNoNo5gX4nAJgQ.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\Classic .NET AppPool\7I6th59OwDDYcfvTKXl43qtYI.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ASP.NET v4.0\GE2Svjiim.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\ASP.NET v4.0 Classic\1e3UZalv5iH3745zT4n3Ce.txt
    2023-04-27 08:30 - 2023-04-27 08:30 - 000000952 _____ C:\Users\020001437\4Ej4SK8ezF8.txt
    2023-04-27 08:15 - 2023-04-27 08:15 - 000000952 _____ C:\ProgramData\fGveaffwPUsu8Cjg9L6RBlcfOivVU.txt
    2023-04-27 08:12 - 2023-04-27 08:12 - 000000000 _____ C:\Windows\efDZDnJTY11KMnLhGYiHk.exe
    2023-04-27 08:11 - 2023-04-27 08:11 - 000000952 _____ C:\MvU0Mr68S99BKWd0FCsheR.txt
    2023-04-27 08:09 - 2023-04-27 08:09 - 000003740 _____ C:\Windows\system32\Tasks\google_update
    Zip:C:\Windows\efDZDnJTY11KMnLhGYiHk.exe
    FCheck: C:\Windows\efDZDnJTY11KMnLhGYiHk.exe [2023-04-27] <==== ATTENTION (zero byte File/Folder)
    FirewallRules: [{53F27307-030B-4EE7-9BB5-549E71EEB61E}] => (Allow) LPort=90
    FirewallRules: [{50CD2627-5609-4786-B4FC-48204C2AFDDC}] => (Allow) LPort=90
    FirewallRules: [{3C66CF85-EAED-4D72-B9CC-2D8D13D575C1}] => (Allow) LPort=1688
    FirewallRules: [{C9C5EDB3-6F8E-4C61-A73F-0AE383E2F0C5}] => (Allow) LPort=8501
    FirewallRules: [{3D530FAE-2FFD-4941-8B82-92395067F82F}] => (Allow) LPort=8501
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Copy highlighted (right click - copy).
  • Run file C:\Users\SONIA1437\Downloads\FRST64.exe as administrator.
  • Press Fix button and wait. Program will create (Fixlog.txt). Attach it to your next message.


PC will reboot. Find at your Desktop file named Date_Time.zip and send it to this address: quarantine <at> safezone.cc (replase <at> to @).

 

Unfortunately there is no known method to decrypt this kind of ransom.

Nevertheless it is good idea to tell about it to tech support as I mentioned before.

 

Later on we'll give you recomendations to protect your system.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Aithusa
      Автор Aithusa
      Hi, I got a ransomware virus, all files are in cdxx format. Can you help me? 
    • Warlocktv
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
    • yaregg
      Автор yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • xamd
      Автор xamd
      день добрый , словили CHTO_S_EBALOM_DECRYPTION.rarшифровальщика , самый главный вопрос это базы данных 1С 8.3 в скуле, помогите если это возможно. Все нужные файлы в архиве , для удобства выкладываю логи FRST отдельно .
      FRST.txt
    • Abdul Waheed
      Автор Abdul Waheed
      Please help for decryption our file. 
       
×
×
  • Создать...