Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик с расширением

sabo
 Поделиться

Рекомендуемые сообщения

sabo Новичок

sabo

Опубликовано
  • Автор
Опубликовано (изменено)
5 минут назад, safety сказал:

Систему просканировали антивирусом? можете предоставить лог сканирования?

К сожалению систему пришлось переустановить, зашифровано много файлов, фото, документы, виртуальные машины, и другое

Антивирус ничего не показал

Большинство программ не запускалось, вплоть до встроенных в систему

Изменено пользователем sabo
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
22 minutes ago, sabo said:

Антивирус ничего не показал

Здесь я виду у вас установлен Дрвеб

(C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe ->) (Doctor Web Ltd. -> Doctor Web, Ltd.) C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe

 

шифрование произошло при установленном антивирусе или установили после шифрования?

23 minutes ago, sabo said:

Большинство программ не запускалось, вплоть до встроенных в систему

Скорее всего вместе с шифрованием был запущен сэмпл Neshta для заражения исполняемых файлов.

Ссылка на комментарий
Поделиться на другие сайты
sabo Новичок

sabo

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Здесь я виду у вас установлен Дрвеб

(C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe ->) (Doctor Web Ltd. -> Doctor Web, Ltd.) C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe

 

шифрование произошло при установленном антивирусе или установили после шифрования?

Скорее всего вместе с шифрованием был запущен сэмпл Neshta для заражения исполняемых файлов.

Был установлен

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
1 minute ago, sabo said:

Был установлен

Значит пропуск был, или смогли отключить защиту на момент шифрования. Без сэмпла шифровальщика мы ничем не сможем вам помочь. Тем более после переустановки системы.

 

По данному шифровальщику PROXIMA/Blackshow расшифровка невозможна без приватного ключа.

Ссылка на комментарий
Поделиться на другие сайты
sabo Новичок

sabo

Опубликовано
  • Автор
Опубликовано (изменено)

У меня осталась виртуальная машина с данными которые нужно вытянуть, что нужно сделать

она запускается

 

Изменено пользователем sabo
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Можно так же несколько зашифрованных файлов + записку о выкупе+сделать логи FRST, + лог, который описал в ЛС

+ образ автозапуска в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
×
×
  • Создать...