criptomangizmo (РАсшифровано) Шифровальщик ViyAJQnRd

[kesha84]

Доброе время суток. 

Подхватили шифровальщик через RDP или через комп в сети.  

архив.7z FRST.txt

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Судя по логу, еще и следы майнера. Если нужна помощь в очистке, добавьте лог Addition.txt

[kesha84]

Печально

Addition.txt

[Sandor]

Файл

Цитата

C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe

закачайте на www.virustotal.com и покажите ссылку на результат анализа.

[kesha84]

Спасибо, удалил данный файл

[Sandor]

В той папке несколько подобных файлов. Результат virustotal покажите всё-таки, пожалуйста.

[kesha84]

ссылка на результат

 

https://www.virustotal.com/gui/file/134ae1d0c90a068cb4ca7d422d1097a007f72e3a26e4ba67b8516902753663b7/detection

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  2023-09-02 14:40 - 2023-09-02 16:01 - 000000000 ____D C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\6D7A3066-7163A6AB-B59F5BE3-7CAF48B3
  2023-09-02 14:40 - 2023-09-02 14:40 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fb57930d-4f25-4802-a558-5374e763a148.tmp.exe
  2023-09-02 12:43 - 2023-09-02 12:43 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\fe04e1d5-f166-4651-ac16-8240e77f1d42.tmp.exe
  2023-09-02 12:31 - 2023-09-02 12:31 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\298f29c2-78bd-4cf2-98bb-2bfc22d49436.tmp.exe
  2023-09-02 12:17 - 2023-09-02 12:17 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\0e0f48db-b27d-4a91-a9d6-7565d194dcd9.tmp.exe
  2023-09-02 12:09 - 2023-09-02 12:09 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\ef4f040a-f374-4dd3-a51a-665d22a66f76.tmp.exe
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Downloads\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Documents\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\Desktop\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Roaming\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\LocalLow\ViyAJQnRd.README.txt
  2023-09-02 04:26 - 2023-09-02 04:25 - 000002245 _____ C:\Users\buhg\AppData\Local\Temp\ViyAJQnRd.README.txt
  2023-08-29 13:28 - 2023-08-29 13:28 - 000010752 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\33f7df1a-f4f2-4658-b3e3-6d04cad344ae.tmp.exe
  2023-08-28 15:46 - 2023-08-28 15:46 - 000000000 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\78791046-28e5-408a-a226-4e4d86deb92c.tmp
  2023-08-28 15:26 - 2023-08-28 15:26 - 001680921 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5734af4-1e92-449d-a81f-5bea07f76644.tmp
  2023-08-28 15:26 - 2023-08-28 15:26 - 000239655 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\406eb942-67f3-4c6e-8361-e68c71fcd4b7.tmp
  2023-08-28 15:26 - 2023-08-28 15:26 - 000136897 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\91d98fd5-5df0-4bda-a759-19e5084ff6a7.tmp
  2023-08-28 15:26 - 2023-08-28 15:26 - 000040995 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\b5269d9a-1f8b-4da6-a5cf-cc8fee49e69a.tmp
  2023-08-28 15:26 - 2023-08-28 15:26 - 000004733 _____ C:\Users\Администратор.WIN-TFOAHAG2421\AppData\Local\Temp\5ad226f7-9cd2-414e-9578-16c0f2864773.tmp
  AlternateDataStreams: C:\ProgramData\TEMP:0243E127 [450]
  FirewallRules: [{EA8DEB3D-2119-478C-A4D5-9AB1D642BA2F}] => (Allow) LPort=1091
  FirewallRules: [{4574116B-54B0-490B-8315-EAC3388A5158}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
  FirewallRules: [{86F915C9-E0C0-4956-828B-48C6983E868F}] => (Allow) C:\Program Files\COMODO\cCloud\cCloud.exe => Нет файла
  FirewallRules: [{47FF08D8-23E9-44E2-9F48-E865C8F64571}] => (Allow) LPort=1091
  FirewallRules: [{49472A4E-0D71-4EF6-96D8-BA0C0E9C2CC7}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
  FirewallRules: [{91E4C1EB-87D7-4CB6-A14E-B86A959DDA00}] => (Allow) C:\Windows\SysWOW64\MPK\MPK.exe => Нет файла
  FirewallRules: [{F1618B01-C65C-4BA7-8129-464A8B019318}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
  FirewallRules: [{C73FE2F0-43EE-42E3-8C2F-89A4F3FF5399}] => (Allow) C:\Windows\SysWOW64\MPK\MPKView.exe => Нет файла
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено 7 сентября, 2023 пользователем Sandor

[kesha84]

Fixlog.txt

[Sandor]

Не нужно было дважды запускать скрипт. Это только очистка следов.

[kesha84]

Еще, что то нужно будет сделать?

 

Изменено 6 сентября, 2023 пользователем kesha84

[Sandor]

Нет. Ориентируйтесь на Рекомендации после удаления вредоносного ПО.

[kesha84]

Спасибо

[safety]

On 06.09.2023 at 14:30, kesha84 said:

Спасибо

Если расшифровка файлов для вас еще актуальна, сообщите, пожалуйста, нам об этом.