Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Зашифрованы локальные и сетевые файлы в сессии, доступной по RDP с нестандартным портом, но простым паролем. К зашифрованным файлам добавлено расширение .HORSESARESEXY.

Вредоносное ПО располагалось в папке "%userprofile%\AppData\Local\1A0DA738-E167-3123-5B82-13EAF27C491E", где кроме SEXYHORSES.exe, gui40.exe также находились файлы 7za.exe.HORSESARESEXY, DC.exe.HORSESARESEXY, ENC_default_default_2023-12-27_09-27-40=Telegram@datadecrypt.exe.HORSESARESEXY, session.tmp и др.

Благодарю за помощь.

enc_docs.zip FRST.zip

Изменено пользователем Евгений3
добавление инф-ции
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Система уже чистилась антивирусами? добавьте логи сканирования в архиве без пароля здесь.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
2024-03-18 02:26 - 2022-10-07 18:55 - 000000000 __SHD C:\Users\User\AppData\Local\1A0DA738-E167-3123-5B82-13EAF27C491E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Очистка Kaspersky Virus Removal Tool.

Ransom.png

 

 

Скрипт очистки в FRST всё же выполнять? (Спасибо за оперативность)

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
7 minutes ago, Евгений3 said:

Скрипт очистки в FRST всё же выполнять? (Спасибо за оперативность)

да, выполните.

Архив с вирусными файлами не надо публиковать для общего доступа по ссылке, только в личные сообщения консультантов.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
×
×
  • Создать...