Перейти к содержанию

поймали шифровальщик neuB5bCEJ

bOObblepOwer
 Share Подписчики 1

Рекомендуемые сообщения

bOObblepOwer

bOObblepOwer 0

Опубликовано
Опубликовано

добрый день. сотрудница поймала шифровальщика. как и где понять не удалось. на nomoreransom и id-ransomware такого шифровальщика не нашел. прошу вашей помощи. архив и логи  фарбар приклепляю.

файлы и записка.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано

Судя по логам FRST система уже очищена от активных тел шифровальщика. Загрузите, пожалуйста, логи сканирования если выполняли утилитами Cureit или штатным антивирусом.

 

Для профилактической очистки:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2023-12-13]
ShortcutTarget: updater.lnk -> C:\Users\123\AppData\Roaming\updater.exe (Нет файла)
EmptyTemp:
Reboot:
End::

 

Файлы зашифрованы Lockbit v3 Black/Cryptomangimo. На текущий момент расшифровка невозможна без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 79

Опубликовано
Опубликовано
Quote

 

C:\Users\123\AppData\Roaming\updater.exe - infected with BackDoor.Bifrost.29284

C:\Users\123\AppData\Roaming\26365794.tmp.exe - infected with Trojan.Siggen22.14123

C:\Users\123\AppData\Local\Temp\Rar$EXa0.327\Aкт cвepки взaимopacчeтoв за периoд 01.09.2023 - 28.11.2023 гoдa.exe - infected with BackDoor.RevetRat.2

 

 

Запретите у пользователей запуск исполняемых файлов из всех типов архивов. Эта группа наиболее активна, и и шифрует Lockbit v3 Black после открытия пользователем рассылаемых через почту архивных вложений с вредоносным файлом.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Aliaksei
      Помогите в борьбе с вымогателями шифровальщиками
      От Aliaksei
      Утром файлы стали не доступны, появился текставый документ предлагающий связатся и заплатить деньги для расшифровки данных. 
      Addition.txt FRST.txt j8mzhi9uZ.README.txt №02249 Октябрьский завод сухого и обезжиренного молока. .pdf №02249 Октябрьский завод сухого и обезжиренного молока. .pdf.rar №02250 Снов.pdf №02250 Снов.pdf.rar
    • ivsh69
      шифровальщик
      От ivsh69
      Здравствуйте, зашифровали все рабочие файлы, доступ скорее всего получили череp rdp, Касперский Small Office Security 6 выключили, файл  с вымогательством прилагается.  Отправил им два зашифрованных файла (заархивировал их), они прислали расшифрованные два. тоже прилагаются. 
      xxzKHNO0a.README.txt Оборотно-сальдовая ведомость за Октябрь 2023 г..xlsx Счет на оплату № 27 от 17 января 2024 г.pdf dXCYb6w.zip
    • Heno_888
      Зашифровали сервера и локальные компы!!!
      От Heno_888
      Здравствуйте, сегодня ночью была атака, зашифровали все данные, кроме .exe. Сможете помочь?
      aZR3PWEqL.README.txt IP network_Production.xlsx.aZR3PWEqL.7z
    • DZEN
      Шифровальщик keepsecrets@tutanota.de
      От DZEN
      Добрый день
      схожая атака 12.03.2024 , по адресу из письма нашел эту ветку форума, может и мне поможете с расшифровкой?
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      nZIqT6u.8I0Jc4g5B ЗАШИФРОВАН personaldatadot1.doc НЕ_ЗАШИФРОВАН personaldatadot1.doc 8I0Jc4g5B.README.txt
    • sysadminus
      Зашифрована виртуалка
      От sysadminus
      Зашифрована виртуалка, антивирус не был установлен.
      В FRST недоступна вкладка additional.
       
      Расширение .racG5VBCI
       
      Машина не грузится, скачан полный образ машины, переустановка не проводилась.
       
      crypted_files_aegida.zip FRST.txt
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю