Перейти к содержанию

Рекомендуемые сообщения

Этот файл добавьте в архиве с паролем infected или virus

2024-02-17 03:27 - 2024-02-17 04:49 - 000002142 _____ C:\Instruction.txt

Судя по логу, и инфо из записки о выкупе:

xZfhq4gmX51zlq4HNQD3jZDVJF45GHlVsCRFF-nXKWQ*4ru9b88d70

файлы зашифрованы Mimic

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe <2>
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\notepad.exe
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (Sysinternals - www.sysinternals.com) [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\xdel.exe <2>
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\Everything.exe
HKLM\...\Run: [conUpdate] => C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM\...\Run: [conUpdate.exe] => C:\Users\Администратор\AppData\Local\Instruction.txt [2142 2024-02-17] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ
2024-02-17 04:49 - 2024-02-17 04:49 - 000002142 _____ C:\Users\Администратор\Desktop\Instruction.txt2024-02-17 03:41
Unlock: C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Эту папку пробуйте добавить в архив с паролем virus или infected

C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}

Файл архива загрузите на облачный диск и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Готово. Папку не получилось скопировать. Могу достать с другого компьютера.

Fixlog.txt NW-OFFICE-VS_2024-02-17_14-41-18_v4.15.1.7z

 

Instruction.7z

Изменено пользователем AlexDreyk
Ссылка на комментарий
Поделиться на другие сайты

Да, можно и с другого ПК папку  загрузить в архиве.

"C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}" => был разблокирован

"C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}" Папка переместить:

C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0} => успешно перемещены

Папка должна быть в карантине FRST

Заархивируйте папку C:\FRST\quaranrine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\CONUPDATE.EXE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\CONUPDATE.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\EVERYTHING.EXE
apply
czoo
QUIT

Добавьте архив ZOO_дата_время.7z из папки, откуда был запущен uVS на облачный диск, и дайте ссылку на скачивание в ЛС.

 

conUpdate.vexe --- HEUR:Trojan-Ransom.Win32.Mimic.gen

encrypt.exe --- HEUR:Trojan-Ransom.Win32.Mimic.gen

Ссылка на комментарий
Поделиться на другие сайты

По данному типу шифровальщика, к сожалению, нет расшифровки без приватного ключа на текущий момент.

Сохраните важные зашифрованные документы на отдельный носитель, возможно расшифровка будет в будущем возможна. Восстановление документов возможно только из архивных копий.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

@AlexDreyk

Добрый день, уточните, пожалуйста, есть ли у вашего предприятия лицензия на домашний или корпоративный Антивирус, и, обращались ли вы именно в службу поддержки ЛК на странице https://support.kaspersky.ru/b2c или https://support.kaspersky.com/b2b ?

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • __Михаил__
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • workforfuns
      Автор workforfuns
      Здравствуйте, появился ли дешифратор?
      Addition.txt FRST.txt ЭЛЕНОР КОРП (1).7z
×
×
  • Создать...