Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Зашифрованы локальные и сетевые файлы в сессии, доступной по RDP с нестандартным портом, но простым паролем. К зашифрованным файлам добавлено расширение .HORSESARESEXY.

Вредоносное ПО располагалось в папке "%userprofile%\AppData\Local\1A0DA738-E167-3123-5B82-13EAF27C491E", где кроме SEXYHORSES.exe, gui40.exe также находились файлы 7za.exe.HORSESARESEXY, DC.exe.HORSESARESEXY, ENC_default_default_2023-12-27_09-27-40=Telegram@datadecrypt.exe.HORSESARESEXY, session.tmp и др.

Благодарю за помощь.

enc_docs.zip FRST.zip

Изменено пользователем Евгений3
добавление инф-ции
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Система уже чистилась антивирусами? добавьте логи сканирования в архиве без пароля здесь.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
2024-03-18 02:26 - 2022-10-07 18:55 - 000000000 __SHD C:\Users\User\AppData\Local\1A0DA738-E167-3123-5B82-13EAF27C491E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Очистка Kaspersky Virus Removal Tool.

Ransom.png

 

 

Скрипт очистки в FRST всё же выполнять? (Спасибо за оперативность)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

7 minutes ago, Евгений3 said:

Скрипт очистки в FRST всё же выполнять? (Спасибо за оперативность)

да, выполните.

Архив с вирусными файлами не надо публиковать для общего доступа по ссылке, только в личные сообщения консультантов.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...