Перейти к содержанию

Комп заразился вирусом-шифровальщиком


Рекомендуемые сообщения

Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:

CHTO_S_EBALOM Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @CHTO_S_EBALOM
3)SKYPE - CHTO_S_EBALOM DECRYPTION

Addition.txt FRST.txt Файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Quote

Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов.

Добавьте, пожалуйста, логи обнаружений и сканирования из антивируса Касперского.

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Run: [CHTO_S_EBALOM.exe] => C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt [688 2024-02-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9C787FDB-A4CC-4639-A7D8-2F6279F28683} - System32\Tasks\explosion-activity => C:\ProgramData\england-extent\bin.exe  /H (Нет файла)
2024-02-14 02:24 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\Desktop\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:19 - 2024-02-14 02:24 - 000000688 _____ C:\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-28 18:06 - 2022-11-19 17:58 - 000000000 __SHD C:\Users\БЕРКУТ\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ () C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Прошу рассмотреть мое обращение. 

 

BAZA_2024-03-07_16-18-58_v4.15.1.7z

 

Что это значит?

 

Изменено пользователем Sandor
Убрал карантин
Ссылка на комментарий
Поделиться на другие сайты

25 minutes ago, Berkut1 said:

Что это значит?

ссылку на карантин не нужно давать в общий доступ, передавать только через личные сообщения консультанту, который работает в вашей теме. Образ сейчас проверю.

+

нужен Fixlog после выполнения скрипта FRST для контроля очистки системы

Quote

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему без перезагрузки и завершит работу программы.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delall %SystemDrive%\USERS\БЕРКУТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PUNTO SWITCHER.LNK
apply

QUIT

+

 по расшифровке файлов:

 

К сожалению, по данному типу шифровальщика расшифровка невозможна без приватного ключа.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

12 minutes ago, Berkut1 said:

Скрипт выполнился успешно, судя по образу файлов шифровальщика (кроме записок о выкупе и зашифрованных файлов нет. Важные зашифрованные файлы можно сохранить  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Ссылка на комментарий
Поделиться на другие сайты

40 minutes ago, Berkut1 said:

Систему переустановить?

Возможно, что лучше переустановить, так как часть исполняемых файлов зашифрована. Документы слить на отдельный носитель.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • princewithoutcrown
      Автор princewithoutcrown
      заразился с флешки от другого компа, появился второй dwm, сильно нагружающий комп.
      помогите пожалуйста


      DESKTOP-RPG11VN_2025-05-23_03-22-42_v5.0.RC1.v x64.7z
    • Salieri
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • boshs
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

×
×
  • Создать...