Перейти к содержанию

Рекомендуемые сообщения

KVRT:

Trojan-Ransom.Win32.Crusis.to
C:\Windows\System32\winhost.exe
Троянская программа
    MD5:  2C492DA142DD08FF4A52FC3FEB2F94F2
    SHA256:  D58B0A61C6B48BB171B19BBD82A31454102D02E5C224DF69E5EC37B7E2658D91

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

10 минут назад, Aleksandr63 сказал:

KVRT:

Trojan-Ransom.Win32.Crusis.to

Верно. Расшифровки нет, к сожалению.

 

Если нужна наша помощь в очистке системы от его следов, добавьте лог Addition.txt, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, не туда посмотрел, спутал с датой версии программы :)

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (explorer.exe ->) () [Файл не подписан] C:\Windows\System32\winhost.exe
    HKLM\...\Run: [winhost.exe] => C:\Users\Admin\AppData\Roaming\winhost.exe [94720 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Admin\AppData\Roaming\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
    HKLM\...\RunOnce: [c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b] => "C:\Users\Admin\AppData\Local\Temp\{4781759a-0943-4244-98bd-27df7e4d994d}\c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b.cmd" (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    2023-05-29 09:16 - 2023-05-29 09:16 - 000094720 _____ C:\Users\Admin\AppData\Roaming\winhost.exe
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Windows\system32\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Users\Admin\AppData\Roaming\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\FILES ENCRYPTED.txt
    2023-05-27 09:50 - 2023-05-27 15:35 - 000094720 _____ C:\Windows\system32\winhost.exe
    FirewallRules: [{587751DE-9AA9-412F-8F78-3BEA9BCAD2A1}] => (Allow) LPort=3702
    FirewallRules: [{C2540A86-C131-49C0-AE74-BA7B5FEB2805}] => (Allow) LPort=9244
    FirewallRules: [{24E672E2-54F6-4DD2-9E6B-4038A7B6457C}] => (Allow) LPort=9100
    FirewallRules: [{B0404022-EE23-4D2A-8A58-44AA69A686C7}] => (Allow) LPort=427
    FirewallRules: [{8A9E7E2C-B441-4D0A-ACC1-A727206637D6}] => (Allow) LPort=161
    FirewallRules: [{7830F491-D929-40DB-9E3C-105A8BD4EA19}] => (Allow) LPort=427
    FirewallRules: [{7130D6B2-28A0-4394-9E48-52D054F0210B}] => (Allow) LPort=3389
    FirewallRules: [{4FAF4A93-1258-4BEA-81A0-28ACFAC027BC}] => (Allow) LPort=5357
    FirewallRules: [{2B4F755F-2E88-4F83-8DF3-9BC8EB18BF67}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Не нужно было трижды запускать скрипт, достаточно одного раза.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-05-22 00:00:19
Поэтому постарайтесь установить эти исправления, закрывающие дыры в системе. Иначе повторного заражения не избежать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
OpenOffice 4.1.6 v.4.16.9790 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop, версия 1.9.14 v.1.9.14 Внимание! Скачать обновления
Viber v.15.7.0.24 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 86.0.1 (x64 ru) v.86.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 8 v.8.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

  • 7 месяцев спустя...
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • valkovaleksandr
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • hiveliberty
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • norma.ekb
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
×
×
  • Создать...