Перейти к содержанию
Задай вопрос Алексею Тодирашу!

поймали шифровальщик neuB5bCEJ

bOObblepOwer
 Share

Рекомендуемые сообщения

bOObblepOwer Новичок

bOObblepOwer

Опубликовано
Опубликовано

добрый день. сотрудница поймала шифровальщика. как и где понять не удалось. на nomoreransom и id-ransomware такого шифровальщика не нашел. прошу вашей помощи. архив и логи  фарбар приклепляю.

файлы и записка.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Судя по логам FRST система уже очищена от активных тел шифровальщика. Загрузите, пожалуйста, логи сканирования если выполняли утилитами Cureit или штатным антивирусом.

 

Для профилактической очистки:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2023-12-13]
ShortcutTarget: updater.lnk -> C:\Users\123\AppData\Roaming\updater.exe (Нет файла)
EmptyTemp:
Reboot:
End::

 

Файлы зашифрованы Lockbit v3 Black/Cryptomangimo. На текущий момент расшифровка невозможна без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
Quote

 

C:\Users\123\AppData\Roaming\updater.exe - infected with BackDoor.Bifrost.29284

C:\Users\123\AppData\Roaming\26365794.tmp.exe - infected with Trojan.Siggen22.14123

C:\Users\123\AppData\Local\Temp\Rar$EXa0.327\Aкт cвepки взaимopacчeтoв за периoд 01.09.2023 - 28.11.2023 гoдa.exe - infected with BackDoor.RevetRat.2

 

 

Запретите у пользователей запуск исполняемых файлов из всех типов архивов. Эта группа наиболее активна, и и шифрует Lockbit v3 Black после открытия пользователем рассылаемых через почту архивных вложений с вредоносным файлом.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
×
×
  • Создать...