Перейти к содержанию

Комп заразился вирусом-шифровальщиком

Berkut1
 Share Подписчики 2

Рекомендуемые сообщения

Berkut1

Berkut1 0

Опубликовано
Опубликовано

Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:

CHTO_S_EBALOM Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @CHTO_S_EBALOM
3)SKYPE - CHTO_S_EBALOM DECRYPTION

Addition.txt FRST.txt Файлы.rar

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)
Quote

Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов.

Добавьте, пожалуйста, логи обнаружений и сканирования из антивируса Касперского.

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM\...\Run: [CHTO_S_EBALOM.exe] => C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt [688 2024-02-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9C787FDB-A4CC-4639-A7D8-2F6279F28683} - System32\Tasks\explosion-activity => C:\ProgramData\england-extent\bin.exe  /H (Нет файла)
2024-02-14 02:24 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\Desktop\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:19 - 2024-02-14 02:24 - 000000688 _____ C:\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-28 18:06 - 2022-11-19 17:58 - 000000000 __SHD C:\Users\БЕРКУТ\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ () C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Berkut1

Berkut1 0

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте. Прошу рассмотреть мое обращение. 

 

BAZA_2024-03-07_16-18-58_v4.15.1.7z

 

Что это значит?

 

Изменено пользователем Sandor
Убрал карантин
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)
25 minutes ago, Berkut1 said:

Что это значит?

ссылку на карантин не нужно давать в общий доступ, передавать только через личные сообщения консультанту, который работает в вашей теме. Образ сейчас проверю.

+

нужен Fixlog после выполнения скрипта FRST для контроля очистки системы

Quote

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему без перезагрузки и завершит работу программы.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delall %SystemDrive%\USERS\БЕРКУТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PUNTO SWITCHER.LNK
apply

QUIT

+

 по расшифровке файлов:

 

К сожалению, по данному типу шифровальщика расшифровка невозможна без приватного ключа.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано
12 minutes ago, Berkut1 said:

Fixlog.txt 3 kB · 0 downloads

Скрипт выполнился успешно, судя по образу файлов шифровальщика (кроме записок о выкупе и зашифрованных файлов нет. Важные зашифрованные файлы можно сохранить  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано
40 minutes ago, Berkut1 said:

Систему переустановить?

Возможно, что лучше переустановить, так как часть исполняемых файлов зашифрована. Документы слить на отдельный носитель.

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...