Перейти к содержанию

(РАсшифровано) Шифровальщик ViyAJQnRd

kesha84
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1 285

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Судя по логу, еще и следы майнера. Если нужна помощь в очистке, добавьте лог Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Файл

Цитата

C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe

закачайте на www.virustotal.com и покажите ссылку на результат анализа.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-09-02 14:40 - 2023-09-02 16:01 - 000000000 ____D C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\6D7A3066-7163A6AB-B59F5BE3-7CAF48B3
2023-09-02 14:40 - 2023-09-02 14:40 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe
2023-09-02 12:43 - 2023-09-02 12:43 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fe04e1d5-f166-4651-ac16-8240e77f1d42.tmp.exe
2023-09-02 12:31 - 2023-09-02 12:31 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\298f29c2-78bd-4cf2-98bb-2bfc22d49436.tmp.exe
2023-09-02 12:17 - 2023-09-02 12:17 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\0e0f48db-b27d-4a91-a9d6-7565d194dcd9.tmp.exe
2023-09-02 12:09 - 2023-09-02 12:09 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\ef4f040a-f374-4dd3-a51a-665d22a66f76.tmp.exe
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Downloads\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Documents\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Desktop\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Roaming\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\LocalLow\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Local\Temp\ViyAJQnRd.README.txt
2023-08-29 13:28 - 2023-08-29 13:28 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\33f7df1a-f4f2-4658-b3e3-6d04cad344ae.tmp.exe
2023-08-28 15:46 - 2023-08-28 15:46 - 000000000 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\78791046-28e5-408a-a226-4e4d86deb92c.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 001680921 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5734af4-1e92-449d-a81f-5bea07f76644.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000239655 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\406eb942-67f3-4c6e-8361-e68c71fcd4b7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000136897 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\91d98fd5-5df0-4bda-a759-19e5084ff6a7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000040995 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5269d9a-1f8b-4da6-a5cf-cc8fee49e69a.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000004733 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\5ad226f7-9cd2-414e-9578-16c0f2864773.tmp
AlternateDataStreams: C:\ProgramData\TEMP:0243E127 [450]
FirewallRules: [{EA8DEB3D-2119-478C-A4D5-9AB1D642BA2F}] => (Allow) LPort=1091
FirewallRules: [{4574116B-54B0-490B-8315-EAC3388A5158}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{86F915C9-E0C0-4956-828B-48C6983E868F}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{47FF08D8-23E9-44E2-9F48-E865C8F64571}] => (Allow) LPort=1091
FirewallRules: [{49472A4E-0D71-4EF6-96D8-BA0C0E9C2CC7}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{91E4C1EB-87D7-4CB6-A14E-B86A959DDA00}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{F1618B01-C65C-4BA7-8129-464A8B019318}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
FirewallRules: [{C73FE2F0-43EE-42E3-8C2F-89A4F3FF5399}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...
  • safety changed the title to (РАсшифровано) Шифровальщик ViyAJQnRd

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • S14Y3R
      PC Locker 3.0 от Mr. Robot
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7
      FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip
    • ершик
      Попался шифровальщик при установки программы, какой именно не знаю, увидел только сейчас
      От ершик
      3R9qG8i3Z.README.txt
    • RAUMANAGOYA
      PC Locker 3.0 от Mr. Robot
      От RAUMANAGOYA
      Поймал вирус шифровальщика-вымогателя, скачивая с телеграмма VoiceModPro. Файлы из папок видео, документы, изображения, appdata зашифрованы
      Формат любого с этих файлов - .3R9qG8i3Z
      3R9qG8i3Z.README.txt FRST.txt Addition.txt WinRAR ZIP archive.zip
    • uno
      Шифровальщик с расширением .9awMfgjsn
      От uno
      Здравствуйте,
      К одному из старых серверов подключились злоумышленники и зашифровали все файлы, расширение теперь .9awMfgjsn. Бэкапы делались на отдельный диск на той же машине и тоже зашифрованы. Требуют выкуп в размере суммы которых у нас нет.. Есть ли вероятность хотя бы частичной расшифровки?
      имя записки о выкупе: 9awMfgjsn.README.txt
      На момент обнаружения сервер был перезагружен, семпл шифровальшика не был найден.
      9awMfgjsn.README.txt 9awMfgjsn.zip Addition.txt FRST.txt
    • Tadashy
      Шифровальщик с расширением .XgihMbuy9
      От Tadashy
      Здравствуйте. Собственно проник вирус, зашифровал файлы, расширение теперь .XgihMbuy9
      Затронуты файлы с расширением .xlsx .doc .jpeg .rar
      Пробовал утилиты из двух источников: nomoreransom и noransom.kaspersky.com но ничего из этого не сработало.
      data.rar Addition.txt FRST.txt
×
×
  • Создать...