Перейти к содержанию

поймали шифровальщик neuB5bCEJ


Рекомендуемые сообщения

добрый день. сотрудница поймала шифровальщика. как и где понять не удалось. на nomoreransom и id-ransomware такого шифровальщика не нашел. прошу вашей помощи. архив и логи  фарбар приклепляю.

файлы и записка.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Судя по логам FRST система уже очищена от активных тел шифровальщика. Загрузите, пожалуйста, логи сканирования если выполняли утилитами Cureit или штатным антивирусом.

 

Для профилактической очистки:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2023-12-13]
ShortcutTarget: updater.lnk -> C:\Users\123\AppData\Roaming\updater.exe (Нет файла)
EmptyTemp:
Reboot:
End::

 

Файлы зашифрованы Lockbit v3 Black/Cryptomangimo. На текущий момент расшифровка невозможна без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Ссылка на сообщение
Поделиться на другие сайты
Quote

 

C:\Users\123\AppData\Roaming\updater.exe - infected with BackDoor.Bifrost.29284

C:\Users\123\AppData\Roaming\26365794.tmp.exe - infected with Trojan.Siggen22.14123

C:\Users\123\AppData\Local\Temp\Rar$EXa0.327\Aкт cвepки взaимopacчeтoв за периoд 01.09.2023 - 28.11.2023 гoдa.exe - infected with BackDoor.RevetRat.2

 

 

Запретите у пользователей запуск исполняемых файлов из всех типов архивов. Эта группа наиболее активна, и и шифрует Lockbit v3 Black после открытия пользователем рассылаемых через почту архивных вложений с вредоносным файлом.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • mappey3
      От mappey3
      все файлы зашифрованы как быть с этим?

    • T3D
      От T3D
      Произошло шифрование файлов. Был запущен процесс LB3.exe, на момент сканирования, процесс был закрыт. В приложении зашифрованные файлы (по одному из них предоставил его восстановленный из бэкапа вариант). Файл-шифровальщик сохранен. При необходимости может быть предоставлен.
      Addition.txt FRST.txt приложение.zip
    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
×
×
  • Создать...