Перейти к содержанию

(РАсшифровано) Шифровальщик ViyAJQnRd

kesha84
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Судя по логу, еще и следы майнера. Если нужна помощь в очистке, добавьте лог Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл

Цитата

C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe

закачайте на www.virustotal.com и покажите ссылку на результат анализа.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-09-02 14:40 - 2023-09-02 16:01 - 000000000 ____D C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\6D7A3066-7163A6AB-B59F5BE3-7CAF48B3
2023-09-02 14:40 - 2023-09-02 14:40 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe
2023-09-02 12:43 - 2023-09-02 12:43 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fe04e1d5-f166-4651-ac16-8240e77f1d42.tmp.exe
2023-09-02 12:31 - 2023-09-02 12:31 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\298f29c2-78bd-4cf2-98bb-2bfc22d49436.tmp.exe
2023-09-02 12:17 - 2023-09-02 12:17 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\0e0f48db-b27d-4a91-a9d6-7565d194dcd9.tmp.exe
2023-09-02 12:09 - 2023-09-02 12:09 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\ef4f040a-f374-4dd3-a51a-665d22a66f76.tmp.exe
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Downloads\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Documents\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Desktop\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Roaming\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\LocalLow\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Local\Temp\ViyAJQnRd.README.txt
2023-08-29 13:28 - 2023-08-29 13:28 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\33f7df1a-f4f2-4658-b3e3-6d04cad344ae.tmp.exe
2023-08-28 15:46 - 2023-08-28 15:46 - 000000000 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\78791046-28e5-408a-a226-4e4d86deb92c.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 001680921 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5734af4-1e92-449d-a81f-5bea07f76644.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000239655 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\406eb942-67f3-4c6e-8361-e68c71fcd4b7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000136897 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\91d98fd5-5df0-4bda-a759-19e5084ff6a7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000040995 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5269d9a-1f8b-4da6-a5cf-cc8fee49e69a.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000004733 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\5ad226f7-9cd2-414e-9578-16c0f2864773.tmp
AlternateDataStreams: C:\ProgramData\TEMP:0243E127 [450]
FirewallRules: [{EA8DEB3D-2119-478C-A4D5-9AB1D642BA2F}] => (Allow) LPort=1091
FirewallRules: [{4574116B-54B0-490B-8315-EAC3388A5158}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{86F915C9-E0C0-4956-828B-48C6983E868F}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{47FF08D8-23E9-44E2-9F48-E865C8F64571}] => (Allow) LPort=1091
FirewallRules: [{49472A4E-0D71-4EF6-96D8-BA0C0E9C2CC7}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{91E4C1EB-87D7-4CB6-A14E-B86A959DDA00}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{F1618B01-C65C-4BA7-8129-464A8B019318}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
FirewallRules: [{C73FE2F0-43EE-42E3-8C2F-89A4F3FF5399}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
  • 2 months later...
  • safety changed the title to (РАсшифровано) Шифровальщик ViyAJQnRd

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Mitesoro
      расшифровать файлы
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • energetic
      Шифровальщик ZENEX кто сможет помочь расшифровать
      От energetic
      Вирус шифровальщик работает с помощью mimikatz делают dump и достают хеш паролей или в открытом виде, коннектятся к серверам выдают привилегии повышенные, файл в startup вкладку в главном меню. ПОсле перезагрузки шифрует. Если у кого то есть возможность помочь расшифровать буду благодарен.
      #ZENEX-Help.txt 1.txt.[prodecrypter@aol.com].ZENEX.zip
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...