Перейти к содержанию

Нужна помощь в ликвидации шифровальщика PODSTAVLIAIPOPKU, расшифровка не нужна, есть бекап.

Drugov
 Share Подписчики 2

Рекомендуемые сообщения

Drugov

Drugov 0

Опубликовано
Опубликовано

Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

  •  
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1692681434-2668267971-1100462442-500\...\MountPoints2: {a4481829-1af6-11e6-acd9-806e6f6e6963} - E:\setup.exe
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
AlternateDataStreams: C:\Users\admin.ULASRV\Application Data:1 [148]
AlternateDataStreams: C:\Users\admin.ULASRV\Local Settings:String [148]
AlternateDataStreams: C:\Users\admin.ULASRV\AppData\Local:String [148]
AlternateDataStreams: C:\Users\admin.ULASRV\AppData\Roaming:1 [148]
FirewallRules: [{7A624B11-8566-449A-8B61-5CB0B26DE054}] => (Allow) LPort=8080
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Слишком много администраторов. У них всех смените пароли и задайте ограниченное количество попыток неправильного ввода пароля.

RDP не открывайте наружу, только через VPN.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Владимир В. А.
      Взлом по RDP и шифровка файлов
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      Зашифрованы файлы на нескольких машинах в сети
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • печалька
      Шифрование нового поколения PODSAVLIAIPOPKU, он же PANIN.
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      Шивровальщик "PANIN" на сервере
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
    • Andrew7777
      Зашифрованы файлы PISCOSTRUI
      От Andrew7777
      Скорее всего было так - Подобрали пароль от сервера и зашифровали файлы. То есть сами зашли на виртуальную машину по RDP узнав адрес, логин и пароль.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...