Перейти к содержанию

Поймал шифровальщика E7M расширение... прошу помочь

Алексей_Кокарев

Автор Алексей_Кокарев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей_Кокарев

Алексей_Кокарев

Опубликовано
Опубликовано (изменено)

В ночь на 2 февраля  на сервере зашифровано почти всё
WindowsServer 2008 (64 разр)
Скорее всего через терминальный доступ кто то прорвался...  
Стандартная работа сервера, SQL,для 1С 7  и 1с-8
Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 

Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
 

E7M_отчет.rar E7M_файлы.rar

Изменено пользователем Алексей_Кокарев
забыл дописать про архивы
Алексей_Кокарев

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

Сейчас еще нашел в планировщике Windows Задание на выполнение (Microsoft_Auto_Scheduler)

там указан запуск bat-ника , файлы сохранены в папке APP  - там 4 файла  bat  и vbs   где упоминается этот самый е-майл для выкупа

Скачал их в архив с паролем...

safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::
SystemRestore: On
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [2024-01-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-02-02] () [Файл не подписан]
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
2024-02-02 21:06 - 2024-01-21 02:49 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Fast.exe
2024-02-02 01:08 - 2024-02-02 21:12 - 000001328 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-02-02 01:08 - 2024-02-02 21:12 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2024-02-02 01:08 - 2024-02-02 21:12 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2024-02-02 01:08 - 2024-02-02 01:08 - 000003460 _____ C:\Users\Администратор\AppData\N-Save.sys
2024-02-02 01:08 - 2024-01-21 02:48 - 001257472 _____ C:\Users\Администратор\Desktop\lohikol22@gmail.com_Official.exe
End::

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Алексей_Кокарев

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано

я правильно понял что скрип ни куда из буфера обмена вставлять не надо?  

 Выполнил , файл Fixlog.txt  создался, а вот папки C:\FRST\Quarantine   нет !  

 

ААА... нашел папку

 

 

Ссыока на   C:\FRST\Quarantine 

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
11 минут назад, Алексей_Кокарев сказал:

Ссыока на   C:\FRST\Quarantine 

Вам же написали

18 часов назад, safety сказал:

Папку C:\FRST\Quarantine заархивируйте с паролем virus или infected, архив загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Алексей_Кокарев

Алексей_Кокарев

Опубликовано
  • Автор
Опубликовано (изменено)

Ссыока на   C:\FRST\Quarantine 
 

Изменено пользователем Sandor
Убрал ссылку
  • Sandor изменил название на Поймал шифровальщика E7M расширение... прошу помочь
Sandor

Sandor

Опубликовано
Опубликовано

Будьте внимательны, ссылку нужно отправить личным сообщением консультанту.

 

Здесь прикрепите, пожалуйста, к следующему сообщению:

04.02.2024 в 01:51, safety сказал:

после завершения работы FRST добавьте файл Fixlog.txt из папки откуда запускали FRST

 

safety

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно только из архивных копий, если такие есть. Если нет, сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • MagicSe
      Поймали шифровальщик. Расширение iX7XLnlvs
      Автор MagicSe
      Поймали шифровальщик. Расширение iX7XLnlvs. Похоже Ransom.Lockbit. Как одолеть сию напасть?
    • ArtemovskyD
      Поймал шифровальщик. Прошу помощи с расшифровкой.
      Автор ArtemovskyD
      Доброе время суток.
      Вчера поймал шифровальщик.
      На каждом разделе, даже на рекавери появился файл Datadecrypt.txt со следующим содержимым:
      Datadecrypt Ransomware!!!
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - 9CBpGok6gAfWHD9YR6l0SxlZDalH4X9Kp4NS4Is6EHE*Telegram@datadecrypt
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      Telegram - @datadecrypt
      https://t.me/datadecrypt
       
      Все зашифровано добрался и до резервной копии.
      На компьютере стоял Kaspersky Small Office Suite (лицензия), а сегодня он выгужен и все ярлыки на рабочем столе с весьма не веселым расширением (пример: Chromium-Gost.lnk.Telegram@datadecrypt)

      Файлы нужны так что хотелось бы инструкцию кто - что знает как можно попытаться расшифровать это все.
       
      Заранее благодарен.
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      Автор Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      Автор pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
×
×
  • Создать...