Перейти к содержанию

Вирус шифровальщик

ppasoft
 Share

Рекомендуемые сообщения

ppasoft Новичок

ppasoft

Опубликовано
Опубликовано

Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.

На обоих стоял Касперский KIS 12.

На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 

использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 

FRST.

virus.rar Файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи собраны из временного профиля

Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)

 

В обычный профиль войти не можете?

Ссылка на комментарий
Поделиться на другие сайты
ppasoft Новичок

ppasoft

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

Компьютер в домене, вся доменная политика находится на другом зараженном компьютере... второй компьютер отключил от сети на всякий случай, как и этот.

 

Зашел под учеткой администратора(локального) в безопасном режиме, т.к. при загрузке там появляется окно с Windows locker express, не дает грузиться системе нормально(видать там подменили explorer, профили рабочего стола и т.п.)

 

Лечить все не стал пока-что, чтобы не удалить какие то возможно нужные для лечения файлы.

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Файлы с большой вероятностью зашифрованы шифровальщиком Enmity

Расшифровки на текущий момент к сожалению нет.

 

Если необходима помощь в очистке системы, сделайте дополнительно, пожалуйста, образ автозапуска в uVS.

Можно из безопасного режима.

 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • scopsa
      Вирус-шифровальщик "datastore@cyberfear"
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      Вирус-шифровальщик "datastore@cyberfear"
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Forrestem
      Вирус-шифровальщик Elpaco-team
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      вирус-шифровальщик LockBit Black
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • Vital888
      Вирус шифровальщик
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...