Перейти к содержанию

Зашифрованы все файлы на компьютере (trojan.encoder.36031)


Рекомендуемые сообщения

Антивирус Касперского установили после шифрования? Если выполнили сканирование, добавьте, пожалуйста, логи сканирования в архиве.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(1C-connect -> ELS Hyphenation Service) [Файл не подписан] C:\Users\Natalya\AppData\Roaming\66987.tmp.exe
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2371304282-1754754146-1116679784-1000\...\Run: [BraveUpdater.exe] => C:\Users\Natalya\AppData\Local\Temp\Rar$EX00.198\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 22.02.2024 гoдa.exe [336536 2024-02-26] (Kaspersky Security -> Расширенный модуль диспетчера мастеров) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2371304282-1754754146-1116679784-1000\...\Run: [66987.tmp] => C:\Users\Natalya\AppData\Roaming\66987.tmp.exe [186952 2024-02-26] (1C-connect -> ELS Hyphenation Service) [Файл не подписан] <==== ВНИМАНИЕ
2024-02-26 13:22 - 2024-02-26 13:22 - 000186952 _____ (ELS Hyphenation Service) C:\Users\Natalya\AppData\Roaming\66987.tmp.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

+

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Свежий бэкдор, мало кто детектирует.

2024-02-26 13:22 - 2024-02-26 13:22 - 000186952 _____ (ELS Hyphenation Service) C:\Users\Natalya\AppData\Roaming\66987.tmp.exe

https://www.virustotal.com/gui/file/5e7bbab4d78cd948c402b1a616574dd6111f4ba1568b4256d703abd3deed4916/detection

 

Запуск бэкдора был выполнен из этого файла:

Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 22.02.2024 гoдa.exe

 

файл попал в систему и был запущен, скорее всего из архивного файла в электронном сообщении.

 

В образе уже все чисто.

В политиках надо запретить запуск исполняемых файлов из архивных файлов.

 

С расшифровкой по данному типу, к сожалению, не поможем.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Все зависит от того, какое время вы считаете ближайшим:  в ближайшую неделю или месяц, или может даже год - не стоит ждать. Если есть важные зашифрованные файлы или документы, можно сохранить их на отдельный носитель. room155 активен в течение полутора года, может когда нибудь и произойдет слив ключей.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • PROXY
      От PROXY
      Здравствуйте. Злоумышленник зашифровал все файлы, включая систему, используя Trojan.Encoder.37506.
      Есть возможность расшифровать данные? Прикладываю архив с несколькими зашифрованными файлами + файл Key.Secret.
      Заранее благодарю!
      virus.zip
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...