Перейти к содержанию

Зашифрованы все файлы на компьютере (trojan.encoder.36031)

infort
 Share

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Антивирус Касперского установили после шифрования? Если выполнили сканирование, добавьте, пожалуйста, логи сканирования в архиве.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
(1C-connect -> ELS Hyphenation Service) [Файл не подписан] C:\Users\Natalya\AppData\Roaming\66987.tmp.exe
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2371304282-1754754146-1116679784-1000\...\Run: [BraveUpdater.exe] => C:\Users\Natalya\AppData\Local\Temp\Rar$EX00.198\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 22.02.2024 гoдa.exe [336536 2024-02-26] (Kaspersky Security -> Расширенный модуль диспетчера мастеров) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2371304282-1754754146-1116679784-1000\...\Run: [66987.tmp] => C:\Users\Natalya\AppData\Roaming\66987.tmp.exe [186952 2024-02-26] (1C-connect -> ELS Hyphenation Service) [Файл не подписан] <==== ВНИМАНИЕ
2024-02-26 13:22 - 2024-02-26 13:22 - 000186952 _____ (ELS Hyphenation Service) C:\Users\Natalya\AppData\Roaming\66987.tmp.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

+

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Свежий бэкдор, мало кто детектирует.

2024-02-26 13:22 - 2024-02-26 13:22 - 000186952 _____ (ELS Hyphenation Service) C:\Users\Natalya\AppData\Roaming\66987.tmp.exe

https://www.virustotal.com/gui/file/5e7bbab4d78cd948c402b1a616574dd6111f4ba1568b4256d703abd3deed4916/detection

 

Запуск бэкдора был выполнен из этого файла:

Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 22.02.2024 гoдa.exe

 

файл попал в систему и был запущен, скорее всего из архивного файла в электронном сообщении.

 

В образе уже все чисто.

В политиках надо запретить запуск исполняемых файлов из архивных файлов.

 

С расшифровкой по данному типу, к сожалению, не поможем.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Все зависит от того, какое время вы считаете ближайшим:  в ближайшую неделю или месяц, или может даже год - не стоит ждать. Если есть важные зашифрованные файлы или документы, можно сохранить их на отдельный носитель. room155 активен в течение полутора года, может когда нибудь и произойдет слив ключей.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...