criptomangizmo поймали шифровальщик *.FuojbxAoJ

[art197474 0]

попались на фишинговое письмо с "Актом сверки". Просьба оказать содействие в расшифровке, в основном документы и база 1С8

файлы по инструкции в закрепе

 

virus_pass_123451.7z Addition.txt FRST.txt

Изменено 11 ноября, 2023 пользователем art197474

[Sandor 1 253]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов (и не только) или планируете переустановку.

[art197474 0]

Будьтье осторожны под видом советов в личные сообщения шлют контакты людей, которые также вытягивают деньги утверждая что могут расшифровать данные.

Вот этот товарищ прислал контакт https://forum.kasperskyclub.ru/profile/68549-igor_lavrentij/

цитата "добрый день, попробуйте написать этому человеку, поможет с восстановлением  https://t.me/help_daemon"

в телеграмм переписка уже подчищена

оплату просят в BTC: Оплата на кошелек BTC
Bitcoin (BTC) Address: bc1qchm9tnxkn05nt2xm0u9axj9vf98x9gm67fdut3

 

Запросил примеры зашифрованных файлов. Потом прислал короткий ролик на котором файлы в папке при выполнении некоего скрипта расшифровываются. 

Наотрез не соглашался на частичную предплату или по окончанию дешифровки.

после частичной оплаты прислал запароленный архив якобы с расшифрованной базой, и за пароль от архива просил еще денег.

[Sandor 1 253]

Он уже заблокирован здесь:

 

[safety 80]

По очистке системы:

Активных бэкдоров уже нет.

Выполните скрипт очистки в uVS из буфера обмена.

Запускаем start.exe от имени Администратора (если не запущен сейчас)

в меню выбираем текущий пользователь, далее

Копируем в браузере скрипт в буфер обмена, закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже.
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2127165
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\DC7F192055060B03A9DB3F317CC46541\36F7D20F552D448A5F306F2274BB6B61D9BCC1B2
delall E:\AUTOINSTALLER.EXE
delall I:\AUTORUN.EXE
delall E:\AUTORUN.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\BARBIE™ 12 ТАНЦУЮЩИХ ПРИНЦЕСС.LNK
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\676FF3271B9D11A2D48EA2D2A8121EC1\C5A606B976529FE9A27C8FAF35D5C7A0A18FB874
delref FILES\DEALPLY\DEALPLYUPDATE.EXE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\GET-STYLES.EXE
addsgn 1A760C9A5583358CF42B62D9D45D53054175C9F689FA1FF3C1E7D5353CF261C14F33D37CDE06CB1E8A34E5DC46270C064E1AB8FB30324F59D5FCE1D30043DE8D 8 Adware.Bho.3875 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe

; Get Styles for Opera
exec C:\Program Files\Get-Styles 2.0\op\uninstall.exe

; Get-Styles for Chrome
exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe

; Get-Styles for IE
exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe

; Get-Styles для ВКонтакте
exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe

; Radio W Toolbar
exec C:\Program Files\Radio_W\uninstall.exe

; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet

; DealPly
exec C:\Users\пользователь\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall

deltmp
delref %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delref %SystemDrive%\PROGRAM
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\THE SIMS 3 ВСЕ ВОЗРАСТЫ\GAME\BIN\TS3EP04.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\GAME\BIN\TS3.EXE
delref D:\SETUP\REDIST\DIRECTX8\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\ПАРАД ЗВЕРЮШЕК КЛУБА ШЕЛЛИ\LAUNCH.EXE
delref D:\DIRECTX 9.0C\DXSETUP.EXE
delref D:\SIMS3SP06SETUP.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\X820_USB_DRIVER.EXE
delref %SystemDrive%\PROGRA~1\DIRECTX\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\ZTEMF626\БИЛАЙН ИНТЕРНЕТ ДОМА\BEELINE HOME INTERNET.EXE
delref D:\SUPPORT\MYSIMS_CODE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\ZVEAJ6DN\RADIO_W[1].EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3 - ИНТЕРНЫ\GAME\BIN\TS3.EXE
delref %SystemDrive%\GAMES\BRATZB~1\UNWISE.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\UNINSTALL.EXE
delref D:\SETUP.EXE
delref D:\VP6\VP6INSTALL.EXE
delref D:\OALINST.EXE
delref %SystemDrive%\GAMES\RATATOUILLE\RAT\GAMESETUP.EXE
delref D:\GAME0.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\RADIO_W\PRXTBRAD1.DLL
delref %SystemDrive%\PROGRAM FILES\RADIO_W\PRXTBRAD0.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\DRIVERS\EWUSBDEV.SYS
delref %SystemDrive%\PROGRA~1\MCAFEE\SITEAD~1\MCSACORE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL2083043C.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL557622FC.SYS
delref %Sys32%\PSXSS.EXE
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\[CLSID]
delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID]
delref {963B125B-8B21-49A2-A3A8-E37092276531}\[CLSID]
delref {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\[CLSID]
delref {B164E929-A1B6-4A06-B104-2CD0E90A88FF}\[CLSID]
delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID]
delref D:\SETUP\REMOVE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\BROMIUM\APPLICATION\18.0.1025.1634\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\BARBIE(TM) IN THE 12 DANCING PRINCESSES\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\ICE AGE 3 - DAWN OF THE DINOSAURS\ICEAGE3.EXE
delref %SystemDrive%\PROGRAM FILES\CONNECT MANAGER\UIMAIN.EXE
delref %SystemDrive%\GAMES\STYLING FACTORY\STYLINGFACTORY.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGIN.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGINUNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\VKSAVER\VKSAVERUI.EXE
delref %SystemDrive%\BP7\BP.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\SYSTEM\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\SHREK2.EXE
;-------------------------------------------------------------

restart
czoo

Пришлите нам файл лога очистки: дата_времяlog.txt из папки, откуда запускали uVS.

[safety 80]

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ защититься -зашита от проникновения, запрет на запуск исполняемых файлов из архивных файлов, актуальная антивирусная защита всех узлов, наличие бэкапов.