Перейти к содержанию

Рекомендуемые сообщения

Этот файл добавьте в архиве с паролем infected или virus

2024-02-17 03:27 - 2024-02-17 04:49 - 000002142 _____ C:\Instruction.txt

Судя по логу, и инфо из записки о выкупе:

xZfhq4gmX51zlq4HNQD3jZDVJF45GHlVsCRFF-nXKWQ*4ru9b88d70

файлы зашифрованы Mimic

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
() [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe <2>
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\notepad.exe
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (Sysinternals - www.sysinternals.com) [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\xdel.exe <2>
(C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\Everything.exe
HKLM\...\Run: [conUpdate] => C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\conUpdate.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM\...\Run: [conUpdate.exe] => C:\Users\Администратор\AppData\Local\Instruction.txt [2142 2024-02-17] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ
2024-02-17 04:49 - 2024-02-17 04:49 - 000002142 _____ C:\Users\Администратор\Desktop\Instruction.txt2024-02-17 03:41
Unlock: C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Эту папку пробуйте добавить в архив с паролем virus или infected

C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}

Файл архива загрузите на облачный диск и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Готово. Папку не получилось скопировать. Могу достать с другого компьютера.

Fixlog.txt NW-OFFICE-VS_2024-02-17_14-41-18_v4.15.1.7z

 

Instruction.7z

Изменено пользователем AlexDreyk
Ссылка на сообщение
Поделиться на другие сайты

Да, можно и с другого ПК папку  загрузить в архиве.

"C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}" => был разблокирован

"C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}" Папка переместить:

C:\Users\Администратор\AppData\Local\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0} => успешно перемещены

Папка должна быть в карантине FRST

Заархивируйте папку C:\FRST\quaranrine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\CONUPDATE.EXE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\CONUPDATE.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\{5424CC07-F31A-35AB-6EDC-DB2CEC77FCA0}\EVERYTHING.EXE
apply
czoo
QUIT

Добавьте архив ZOO_дата_время.7z из папки, откуда был запущен uVS на облачный диск, и дайте ссылку на скачивание в ЛС.

 

conUpdate.vexe --- HEUR:Trojan-Ransom.Win32.Mimic.gen

encrypt.exe --- HEUR:Trojan-Ransom.Win32.Mimic.gen

Ссылка на сообщение
Поделиться на другие сайты

По данному типу шифровальщика, к сожалению, нет расшифровки без приватного ключа на текущий момент.

Сохраните важные зашифрованные документы на отдельный носитель, возможно расшифровка будет в будущем возможна. Восстановление документов возможно только из архивных копий.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

@AlexDreyk

Добрый день, уточните, пожалуйста, есть ли у вашего предприятия лицензия на домашний или корпоративный Антивирус, и, обращались ли вы именно в службу поддержки ЛК на странице https://support.kaspersky.ru/b2c или https://support.kaspersky.com/b2b ?

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Алек_сандр
      От Алек_сандр
      Зашифрованые файлы.rargui40.rarFRST.txtAddition.txt
       
      Столкнулся с проблемой шифровальщика.
      Всё что нужно во вложении
    • Александр Евгеньеви
      От Александр Евгеньеви
      Здравствуйте. Поймал вирус 7dyedhqu59c, установлен Касперский small office security.  Он увидел аирус попросил перезагрузить комп. После выполнил полную проверку, но файлы продолжают шифроваться. Помогите.
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
    • Kumarych
      От Kumarych
      Здравствуйте ! 
      Столкнулся вот, помогите, пожалуйста !
      Шифровали 100% через RDP
      Есть файл с требованием выкупа и два файла зашифрованных, если нужны, скажите
      Addition.txt FRST.txt PHILIP_KIRKOROV_DECRYPTION.txt
    • Ivan_f
      От Ivan_f
      Два ПК с данными обработаны шифровальщиками. 
      Письмо с вымоганием денег лежало в корневых папках. Прилагаю к запросу этот файл Instruction.txt
      Готов оплатить услуги по дешифрованию. Нашел очень похожую активность - https://virusinfo.info/showthread.php?t=227896
      Заранее благодарю. 
    • Gera_rostov
      От Gera_rostov
      Наш сервер был зашифрован, все файлы с расширением  ".NESCHELKAIEBALOM"
      Выполнили переустановку системы, есть ли возможность восстановить без оплаты ?
×
×
  • Создать...