Перейти к содержанию

Поймал шифровальщика E7M расширение... прошу помочь

Алексей_Кокарев

Автор Алексей_Кокарев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
Опубликовано (изменено)

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено пользователем Алексей_Кокарев
забыл дописать про архивы
Ссылка на комментарий
Поделиться на другие сайты
Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
Алексей_Кокарев Новичок

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Поймал шифровальщика E7M расширение... прошу помочь
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
On 04.02.2024 at 06:51, safety said:

Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]

https://www.virustotal.com/gui/file/0ebf9d3800f5ca5ba4792c1f7df8f06dbbf49fe698e873f161fa8b21e6307207

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Анонимка
      Прошу помочь, уже не знаю, что делать с этим вирусом.
      Автор Анонимка
      Предыстории не помню, но сейчас наблюдаю на всех своих устройствах : 
      1) Фиктивные сетевые адаптеры
      2) Непонятные порты и службы
      3) Тормоза компьютера - хотя они не особо заметны
      4) Предустановленные драйверы, которые нельзя удалить
      5) Какие-то левые сертификаты 2010 года, которые определяются, как валидные
      6) Переустановка винды не помогает - такое ощущение, что где-то в недрах диска или биоса зашито это. Либо стоит какое-либо устройство. 
      7) Это проявляется на стационарном ПК , ноутбуке, возможно андроид мобильнике.
       
       
      Чтобы я ни делал, везде проскакивают странности. 
      Очень неприятна мысль, что все твои действия могут контролировать, еще хуже, если могут ими воспользоваться. В этом мои опасения.
       
      Я собрал некие подозрительные файлы с папки windows - они на диске - 
      https://drive.google.com/file/d/17QJoI863YzvNPeo_WTdW5MmcLu729Bg2/view?usp=sharing
      https://drive.google.com/file/d/1d4szAEudnYbfS9hlKQOvQHtCQM6wTLmj/view?usp=sharing
      https://drive.google.com/file/d/1ioGd1yf_pYjWv3bhf368gtmcq7EaxQj_/view?usp=sharing
      https://drive.google.com/file/d/1smFWpaWPqEtEND023e6lBkTmq4uZ-_fd/view?usp=sharing
      Можете помочь ?
        
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
×
×
  • Создать...