Перейти к содержанию

(РАсшифровано) Шифровальщик ViyAJQnRd

kesha84
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Судя по логу, еще и следы майнера. Если нужна помощь в очистке, добавьте лог Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Файл

Цитата

C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe

закачайте на www.virustotal.com и покажите ссылку на результат анализа.

Sandor

Sandor

Опубликовано
Опубликовано

В той папке несколько подобных файлов. Результат virustotal покажите всё-таки, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-09-02 14:40 - 2023-09-02 16:01 - 000000000 ____D C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\6D7A3066-7163A6AB-B59F5BE3-7CAF48B3
2023-09-02 14:40 - 2023-09-02 14:40 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe
2023-09-02 12:43 - 2023-09-02 12:43 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fe04e1d5-f166-4651-ac16-8240e77f1d42.tmp.exe
2023-09-02 12:31 - 2023-09-02 12:31 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\298f29c2-78bd-4cf2-98bb-2bfc22d49436.tmp.exe
2023-09-02 12:17 - 2023-09-02 12:17 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\0e0f48db-b27d-4a91-a9d6-7565d194dcd9.tmp.exe
2023-09-02 12:09 - 2023-09-02 12:09 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\ef4f040a-f374-4dd3-a51a-665d22a66f76.tmp.exe
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Downloads\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Documents\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Desktop\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Roaming\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\LocalLow\ViyAJQnRd.README.txt
2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Local\Temp\ViyAJQnRd.README.txt
2023-08-29 13:28 - 2023-08-29 13:28 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\33f7df1a-f4f2-4658-b3e3-6d04cad344ae.tmp.exe
2023-08-28 15:46 - 2023-08-28 15:46 - 000000000 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\78791046-28e5-408a-a226-4e4d86deb92c.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 001680921 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5734af4-1e92-449d-a81f-5bea07f76644.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000239655 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\406eb942-67f3-4c6e-8361-e68c71fcd4b7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000136897 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\91d98fd5-5df0-4bda-a759-19e5084ff6a7.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000040995 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5269d9a-1f8b-4da6-a5cf-cc8fee49e69a.tmp
2023-08-28 15:26 - 2023-08-28 15:26 - 000004733 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\5ad226f7-9cd2-414e-9578-16c0f2864773.tmp
AlternateDataStreams: C:\ProgramData\TEMP:0243E127 [450]
FirewallRules: [{EA8DEB3D-2119-478C-A4D5-9AB1D642BA2F}] => (Allow) LPort=1091
FirewallRules: [{4574116B-54B0-490B-8315-EAC3388A5158}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{86F915C9-E0C0-4956-828B-48C6983E868F}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
FirewallRules: [{47FF08D8-23E9-44E2-9F48-E865C8F64571}] => (Allow) LPort=1091
FirewallRules: [{49472A4E-0D71-4EF6-96D8-BA0C0E9C2CC7}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{91E4C1EB-87D7-4CB6-A14E-B86A959DDA00}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
FirewallRules: [{F1618B01-C65C-4BA7-8129-464A8B019318}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
FirewallRules: [{C73FE2F0-43EE-42E3-8C2F-89A4F3FF5399}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Не нужно было дважды запускать скрипт. Это только очистка следов.

kesha84

kesha84

Опубликовано
  • Автор
Опубликовано (изменено)

Еще, что то нужно будет сделать?

 

Изменено пользователем kesha84
  • 2 месяца спустя...
safety

safety

Опубликовано
Опубликовано
On 06.09.2023 at 14:30, kesha84 said:

Спасибо

Если расшифровка файлов для вас еще актуальна, сообщите, пожалуйста, нам об этом.

  • Like (+1) 1
  • safety изменил название на (РАсшифровано) Шифровальщик ViyAJQnRd

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей45
      Помощь в расшифровке. upyVegTmW
      Автор Андрей45
      Добрый день

      поймали  вирус локбит3 блэк
       
      Ниже две ссылки
      1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу
      Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.
      2. во вложении декриптор и приемры файлов. нас очень интересует возможность расшифровать vhd диски.

      Вопрос
      Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.
      virus.rar
    • Rival
      Шифровальщик LockBit Black Ransomware
      Автор Rival
      Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).
      FRST.txt unity.zip Addition.txt
      decrypted_files.zip
    • Андрей Салтыков
      Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • Sart
      Давнишнее заражение
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
×
×
  • Создать...