Перейти к содержанию

Шифровальщик ELECTRONIC Ransmoware

13asx13
 Share Подписчики 0

Рекомендуемые сообщения

13asx13

13asx13 0

Опубликовано
Опубликовано (изменено)

Добрый день, на сервере зашифровались все файлы. Появились текстовые файлы с содержимым:
Electronic Ransmoware
ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
2.Do not use free programs to unlock.
To restore the system write to both : electronicrans@gmail.com              and            electronicrans@outlook.com
Telegram id:@mgam161
Your Decryption ID: *************
На момент заражения на сервере был запущен Kaspersky Endpoint Security.
Прошу помощи в решении проблемы.

Изменено пользователем 13asx13
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано (изменено)

Файлы зашифрованы вариантом PROXIMA/BTC-azadi

 

Возможно в системе есть заражение neshta

2024-03-15 03:20 - 2024-03-15 15:09 - 000041472 _____ C:\WINDOWS\svchost.com

лучше проверить систему с помощью KRD

 

После проверки в KRD, сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано
14 часов назад, safety сказал:

Возможно в системе есть заражение neshta

100% есть.

Цитата

HKLM\...\exefile\shell\open\command: C:\Users\Администратор.WIN-UPQ0PODUDCK\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано (изменено)

Эти файлы не пролечены:

C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 11.0\ACROBAT\PLUG_INS\SCAN\ACROSCANBROKER.EXE

C:\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2202.4-0\NISSRV.EXE

C:\PROGRAM FILES (X86)\GOOGLE\GOOGLEUPDATER\124.0.6342.2\UPDATER.EXE

 

пробуйте просканировать их.

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы 

Strart::
HKLM\...\exefile\shell\open\command: C:\Users\Администратор.WIN-UPQ0PODUDCK\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Apotka
      Заразился сервер шифровщиком-вымогателем Hercul
      От Apotka
      Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

      Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

      В сервисе "крипто шериф" декприптора на наш случай не нашлось,

      Следовал инструкции найденной на одном из порталов 

      Также изучил похожую тему на наш случай на этом форуме
       

      и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
      зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

      Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip
    • vag
      Помогите определить шифровальщик
      От vag
      Добрый день, проблема решена? Сегодня такая же ситуация
      Сообщение от модератора kmscom Сообщение выделено из темы Помогите определить шифровальщик  
    • Vicrius
      Помогите определить шифровальщик
      От Vicrius
      Добрый день!
      Утром все файлы на компе зашифрованы с раширением .hercul
      Не могу понять чем зашифровали.
      И такой текстовый файл лежит в каждой папке. Hercul_help.txt  c содержанием
      IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
      # In subject line please write your personal ID
      7800FA92D77AEB05
      # What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      (The files must be in a common format, such as: doc-excel-pdf-jpg)
      We will decrypt these files and send them back to you as evidence.
      This notification shows that your system has been hacked.
      They are unavailable because the file structure has been altered to an unreadable format.
      and your data locked with the Hercul suffix.
      and Your vital information, such as databases, financial/developmental, accounting, and strategic papers has been downloaded.

      Contact us:
      Email 1 : Jack2009@skiff.com
      Email 2 : Jack2009@Cyberfear.com
    • sabo
      Шифровальщик с расширением
      От sabo
      Добрый день поймал шифровальщика на ПК, скорее всего взлом по РДП
      1.rar
    • milanich
      Вирус electronicrans@outlook.com
      От milanich
      Electronic Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : electronicrans@gmail.com              and            electronicrans@outlook.com
      Telegram id:@mgam161
      Your Decryption ID: ACB547E*****
       
       
      Здравствуйте, вот такой файлик появился в каждой папке. Каждый файл получил разрешение типа 
      appworkshop_570.acf.1544524742.tmp.EMAIL=[electronicrans@gmail.com]ID=[ACB547E******]
       
      Просьба подсказать, что делать в данном случае.
×
×
  • Создать...