Перейти к содержанию

Комп заразился вирусом-шифровальщиком


Рекомендуемые сообщения

Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:

CHTO_S_EBALOM Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @CHTO_S_EBALOM
3)SKYPE - CHTO_S_EBALOM DECRYPTION

Addition.txt FRST.txt Файлы.rar

Ссылка на сообщение
Поделиться на другие сайты
Quote

Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов.

Добавьте, пожалуйста, логи обнаружений и сканирования из антивируса Касперского.

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Run: [CHTO_S_EBALOM.exe] => C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt [688 2024-02-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9C787FDB-A4CC-4639-A7D8-2F6279F28683} - System32\Tasks\explosion-activity => C:\ProgramData\england-extent\bin.exe  /H (Нет файла)
2024-02-14 02:24 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\Desktop\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:19 - 2024-02-14 02:24 - 000000688 _____ C:\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-28 18:06 - 2022-11-19 17:58 - 000000000 __SHD C:\Users\БЕРКУТ\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ () C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. Прошу рассмотреть мое обращение. 

 

BAZA_2024-03-07_16-18-58_v4.15.1.7z

 

Что это значит?

 

Изменено пользователем Sandor
Убрал карантин
Ссылка на сообщение
Поделиться на другие сайты
25 minutes ago, Berkut1 said:

Что это значит?

ссылку на карантин не нужно давать в общий доступ, передавать только через личные сообщения консультанту, который работает в вашей теме. Образ сейчас проверю.

+

нужен Fixlog после выполнения скрипта FRST для контроля очистки системы

Quote

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему без перезагрузки и завершит работу программы.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delall %SystemDrive%\USERS\БЕРКУТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PUNTO SWITCHER.LNK
apply

QUIT

+

 по расшифровке файлов:

 

К сожалению, по данному типу шифровальщика расшифровка невозможна без приватного ключа.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
12 minutes ago, Berkut1 said:

Скрипт выполнился успешно, судя по образу файлов шифровальщика (кроме записок о выкупе и зашифрованных файлов нет. Важные зашифрованные файлы можно сохранить  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Ссылка на сообщение
Поделиться на другие сайты
40 minutes ago, Berkut1 said:

Систему переустановить?

Возможно, что лучше переустановить, так как часть исполняемых файлов зашифрована. Документы слить на отдельный носитель.

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Kumarych
      От Kumarych
      Здравствуйте ! 
      Столкнулся вот, помогите, пожалуйста !
      Шифровали 100% через RDP
      Есть файл с требованием выкупа и два файла зашифрованных, если нужны, скажите
      Addition.txt FRST.txt PHILIP_KIRKOROV_DECRYPTION.txt
    • Ivan_f
      От Ivan_f
      Два ПК с данными обработаны шифровальщиками. 
      Письмо с вымоганием денег лежало в корневых папках. Прилагаю к запросу этот файл Instruction.txt
      Готов оплатить услуги по дешифрованию. Нашел очень похожую активность - https://virusinfo.info/showthread.php?t=227896
      Заранее благодарю. 
    • Gera_rostov
      От Gera_rostov
      Наш сервер был зашифрован, все файлы с расширением  ".NESCHELKAIEBALOM"
      Выполнили переустановку системы, есть ли возможность восстановить без оплаты ?
    • i.molvinskih
      От i.molvinskih
      Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.
      Шифрование произошло сегодня, журнал событий был очищен.
      требования_и_зашифрованные_файлы.zip
    • meps85
      От meps85
      Добрый день! поймал вирус-вымогатель NESCELKAIEBALOM
      лог FRST прилагаю.
      Сможете помочь с удалением? 
       
      FRST_08_04_2024.txt
×
×
  • Создать...