enmity Вирус шифровальщик

[ppasoft]

Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.

На обоих стоял Касперский KIS 12.

На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 

использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 

FRST.

virus.rar Файлы.rar

[Sandor]

Здравствуйте!

 

Логи собраны из временного профиля

Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)

 

В обычный профиль войти не можете?

[ppasoft]

Здравствуйте.

Компьютер в домене, вся доменная политика находится на другом зараженном компьютере... второй компьютер отключил от сети на всякий случай, как и этот.

 

Зашел под учеткой администратора(локального) в безопасном режиме, т.к. при загрузке там появляется окно с Windows locker express, не дает грузиться системе нормально(видать там подменили explorer, профили рабочего стола и т.п.)

 

Лечить все не стал пока-что, чтобы не удалить какие то возможно нужные для лечения файлы.

 

[safety]

Файлы с большой вероятностью зашифрованы шифровальщиком Enmity

Расшифровки на текущий момент к сожалению нет.

 

Если необходима помощь в очистке системы, сделайте дополнительно, пожалуйста, образ автозапуска в uVS.

Можно из безопасного режима.

 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

Изменено 29 ноября, 2023 пользователем safety