Перейти к содержанию

Зашифровались файлы. Тип файлов теперь стал "NESCHELKAIEBALOM"

Denis6869
 Share Подписчики 2

Рекомендуемые сообщения

Denis6869

Denis6869 0

Опубликовано
Опубликовано

Добрый день, пришли на работу, а тут все файлы зашифрованы вымогателями. Помогите расшифровать и вылечить файлы и компьютер.  Скачал FRST, нажал сканировать, после чего появились два файла Addition и FRST. 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Здравствуйте!

 

Эти файлы прикрепите к следующему сообщению. А также сделайте остальное - Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
Denis6869

Denis6869 0

Опубликовано
  • Автор
Опубликовано (изменено)

добавил зашифрованные файлы, логи и записку

 

Addition.txt CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt FRST.txt virus.zip

Изменено пользователем Denis6869
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и и завершит работу без перезагрузки системы


  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-04-02 06:30 - 2024-04-02 06:32 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
C:\Users\kda\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
C:\Users\kda\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\kda\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ibknafobnmndicojahlppolcaaibngjf
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjhhqkh [0]
C:\Users\kda\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ibknafobnmndicojahlppolcaaibngjf
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано (изменено)

Скрипт был отредактирован. Пробуйте еще раз его выполнить в FRST + новый fixlog.txt

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...