Перейти к содержанию
Встреча клуба на Новогодней ярмарке

[РАСШИФРОВАНО] Попался на шифровальщика

Stepan1992
 Share Подписчики 2

Рекомендуемые сообщения

Stepan1992

Stepan1992 0

Опубликовано
Опубликовано (изменено)

Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.

Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены

FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar

Изменено пользователем Stepan1992
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Здравствуйте!

 

Инструкция по расшифровке отправлена вам личным сообщением.

Почистим некоторый мусор в системе.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player ActiveX & Plugin 64-bit

Bonjour

HitmanPro 3.8

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
IFEO\FF_.exe: [Debugger] 0
IFEO\KMmpeg.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {807FD3D6-6770-43C4-BE4A-6145FDD9BD11} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {D0B31B8B-175D-47C3-8B8C-815296BA4E78} - \FreedomeTrialReset -> Нет файла <==== ВНИМАНИЕ
Task: {65816FB6-597E-4930-9284-950BE9F4B9C8} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe  /H (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Stepan\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
AV: Avast Antivirus (Enabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
FW: Avast Antivirus (Enabled) {D322394B-73F7-C65E-BBB0-3B81E063D6D4}
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{4a84adfe-1df8-4a55-9f5a-8c4d7d5d17a5}) (Version: 1.0.0.0 - TotalAdblock) Hidden
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [1016]
HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\Software\Classes\exefile:  <==== ВНИМАНИЕ
FirewallRules: [{52458DF4-AAC8-45DB-88CB-F34B6EB8D448}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{D7DD96C7-268A-4EBC-9FBE-1D102B5E7D41}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{23A986AB-4983-431A-8376-8E68C3E61543}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{1F6130B8-C47E-4246-A3A6-FB3B71661A23}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{97863225-0F51-43FE-8F9D-A7476CA3BFEC}] => (Allow) LPort=31300
FirewallRules: [{58AD9F9C-2930-4114-B43B-D8303C2596C3}] => (Allow) LPort=31104
FirewallRules: [{D89D4269-3117-475E-9719-F341D2E09052}] => (Allow) LPort=31105
FirewallRules: [{F2CA0EC7-029C-487B-AD84-413E6FE6E63E}] => (Allow) LPort=31106
FirewallRules: [{05A5D0AF-90CC-442A-A5CD-1F6C787A9487}] => (Allow) LPort=31107
FirewallRules: [{2FD2EFC7-0ED8-44F7-89D7-6A6929758480}] => (Allow) LPort=31108
FirewallRules: [{B0594578-45EA-4BD3-B52C-538999A3AC66}] => (Allow) LPort=31109
FirewallRules: [{3DBB99F4-58A0-4561-AF0E-708C1E178012}] => (Allow) LPort=31110
FirewallRules: [{32E59D48-3094-474D-AFF5-73D25D8B369F}] => (Allow) LPort=31111
FirewallRules: [{DDF33695-B7F6-4DE1-A9ED-24A0929DCDD1}] => (Allow) LPort=31112
FirewallRules: [{8D141381-0A99-4050-94A5-EE5892FFCFDC}] => (Allow) LPort=31113
FirewallRules: [{627AE4DC-BC8B-453E-A871-06F63B32ADF6}] => (Allow) LPort=80
StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
EndBatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Total Adblock - Free AdBlocker 1.0.0.0




Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Дважды выполнять скрипт не нужно было, результат перезаписался. Но не страшно.

 

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] Попался на шифровальщика
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Мы привели вашу систему в порядок.

 

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
calibre 64bit v.6.16.0 Внимание! Скачать обновления
Python 3.10.5 (64-bit) v.3.10.5150.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.5.0.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.21668 Внимание! Скачать обновления
WhatsApp v.2.2226.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.17 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CleanMyPC 1.12.2.2178 v.1.12.2.2178 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
SpyHunter 5 v.5.10.9.232 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
The KMPlayer RePack by CUTA v.4.2.2.72 - (build 4) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
3D SexVilla 2 & Hustler3D - Repack by Archangel (25/01/2012) v.1.0.1.4 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • decoy4ik
      Вирусом зашифрованы важные файлы.
      От decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • Vyacheslv B.
      Шифратор Zeppelin
      От Vyacheslv B.
      Здравствуйте. Пострадал от действий вируса-шифровальщика. Возможно ли восстановить файлы?
       
       
       
      encrypt.zipFRST.zip
    • duduka
      Произошла шифровка файлов cock.li
      От duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • Apdate2018
      Зашифровали сервер нужна помощь
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
×
×
  • Создать...