Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус шифровальщик

ppasoft
 Поделиться

Рекомендуемые сообщения

ppasoft Новичок

ppasoft

Опубликовано
Опубликовано

Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.

На обоих стоял Касперский KIS 12.

На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 

использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 

FRST.

virus.rarПолучение информации... Файлы.rarПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи собраны из временного профиля

  Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)

Показать  

 

В обычный профиль войти не можете?

Ссылка на комментарий
Поделиться на другие сайты
ppasoft Новичок

ppasoft

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

Компьютер в домене, вся доменная политика находится на другом зараженном компьютере... второй компьютер отключил от сети на всякий случай, как и этот.

 

Зашел под учеткой администратора(локального) в безопасном режиме, т.к. при загрузке там появляется окно с Windows locker express, не дает грузиться системе нормально(видать там подменили explorer, профили рабочего стола и т.п.)

 

Лечить все не стал пока-что, чтобы не удалить какие то возможно нужные для лечения файлы.

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Файлы с большой вероятностью зашифрованы шифровальщиком Enmity

Расшифровки на текущий момент к сожалению нет.

 

Если необходима помощь в очистке системы, сделайте дополнительно, пожалуйста, образ автозапуска в uVS.

Можно из безопасного режима.

 

  Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Показать  

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
      Автор Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
    • scopsa
      Вирус-шифровальщик "datastore@cyberfear"
      Автор scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      Вирус-шифровальщик "datastore@cyberfear"
      Автор Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
×
×
  • Создать...