Перейти к содержанию

поймали шифровальщик neuB5bCEJ

bOObblepOwer
 Share Подписчики 1

Рекомендуемые сообщения

bOObblepOwer

bOObblepOwer 0

Опубликовано
Опубликовано

добрый день. сотрудница поймала шифровальщика. как и где понять не удалось. на nomoreransom и id-ransomware такого шифровальщика не нашел. прошу вашей помощи. архив и логи  фарбар приклепляю.

файлы и записка.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

Судя по логам FRST система уже очищена от активных тел шифровальщика. Загрузите, пожалуйста, логи сканирования если выполняли утилитами Cureit или штатным антивирусом.

 

Для профилактической очистки:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2023-12-13]
ShortcutTarget: updater.lnk -> C:\Users\123\AppData\Roaming\updater.exe (Нет файла)
EmptyTemp:
Reboot:
End::

 

Файлы зашифрованы Lockbit v3 Black/Cryptomangimo. На текущий момент расшифровка невозможна без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано
Quote

 

C:\Users\123\AppData\Roaming\updater.exe - infected with BackDoor.Bifrost.29284

C:\Users\123\AppData\Roaming\26365794.tmp.exe - infected with Trojan.Siggen22.14123

C:\Users\123\AppData\Local\Temp\Rar$EXa0.327\Aкт cвepки взaимopacчeтoв за периoд 01.09.2023 - 28.11.2023 гoдa.exe - infected with BackDoor.RevetRat.2

 

 

Запретите у пользователей запуск исполняемых файлов из всех типов архивов. Эта группа наиболее активна, и и шифрует Lockbit v3 Black после открытия пользователем рассылаемых через почту архивных вложений с вредоносным файлом.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Gennadiy89
      Зашифрованы файлы расширение "MZEM8GTPE" почта help@room155.online или room155@tuta.io
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • kseninon
      Поймала шифровальщика, как восстановить файлы?
      От kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • ASPIDWAR
      Поймал шифровальщик 9ebhyPlsg
      От ASPIDWAR
      Всем доброго времени суток. Поймал вирус шифровальщик через архив. Теперь все файлы перед форматом имеют расширение 9ebhyPlsg. Лог и прочие файлы прикладываю. Shif-Files - зашифрованный файл и файл с требованиями злоумышленников. С системой ничего не делал. Стоит Windows 7 X64
      Addition.txt FRST.txt Shif-files.zip
    • Михаил14
      Зашифровали файлы. Требуют выкуп. decrutor 1.0 j8mzhi9uZ
      От Михаил14
      Здравствуйте
      В пятницу поймали такой же шифровальщик (j8mzhi9uZ)
      Пропали базы 1С, договора, в общем много всего!
      Попросили 600 долларов 
      Реально спасти файлы или придется платить?
       
       
×
×
  • Создать...