Перейти к содержанию

Шифровальщик "NESCHELKAIEBALOM"

meps85
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1 284

Опубликовано
Опубликовано

Здравствуйте!

 

Лог собирали в режиме восстановления системы. Почему? В нормальном режиме система не загружается?

Ссылка на сообщение
Поделиться на другие сайты
meps85

meps85 0

Опубликовано
  • Автор
Опубликовано

Не пробовал, если честно - сразу со среды восстановления снял лог. 

Сейчас попробую скинуть с нормального режима

 

 

Лог с нормального режима

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 284

Опубликовано
Опубликовано

К сожалению, расшифровки этого типа вымогателя нет.

 

Политику IPSec настраивали самостоятельно?

Цитата

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)

 

Помощь в очистке следов вымогателя нужна или будет переустановка системы?
 

Ссылка на сообщение
Поделиться на другие сайты
meps85

meps85 0

Опубликовано
  • Автор
Опубликовано

 IPSec не настраивал

Хотелось бы попробовать восстановить действующую систему, или хотя бы чистку файлов провести, чтобы восстановить с помощьюacronis  

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 284

Опубликовано
Опубликовано

С помощью Acronis вы ведь восстанавливаете полный образ системы. При этом очистка текущего состояния не нужна.

Под "чисткой файлов" что вы подразумеваете? Расшифровку? Её нет, я ответил выше.

Ссылка на сообщение
Поделиться на другие сайты
meps85

meps85 0

Опубликовано
  • Автор
Опубликовано

файлы acronis не запускаются почему-то...

пишет: "это не последний том архива"

там все файлы были с добавлением .NESCELKAIEBALOM

вручную переименовал - не помогло... Архив акрониса не открывается...

непонятно как файл акрониса "оживить", чтобы восстановление системы сделать....

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 284

Опубликовано
Опубликовано

А, теперь понятно. Ваши бекапы оказались тоже зашифрованными. Простое переименование, конечно, не поможет.

Впредь вам наука, бекапы должны храниться в защищенном месте.

 

Пароли администраторов смените, скорее всего были взломаны.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {0df94d8d-4816-11e4-afc6-806e6f6e6963} - D:\Bin\ASSETUP.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a5292-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a52a1-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2022-06-10]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
2024-04-07 22:35 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-08 01:02 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\ПЧ\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
FirewallRules: [{AB839019-4356-406A-A4B0-9911D7D833C9}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{AE45D87E-EF01-41C3-BBBD-85CB53A80E91}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{62D452AF-7A82-4492-9966-DE4AA379D967}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{40480F95-0A6A-458D-85B3-72625D4D251C}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 284

Опубликовано
Опубликовано

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Дополнительно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 284

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
 

Так ли страшен контроль учетных записей (UAC)?

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Если решите продолжать работать на семерке, обязательно установите все перечисленные хотфиксы (особенно HotFix KB4012212), иначе очередной взлом не заставит себя ждать.

 

AnyDesk v.ad 7.0.14 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
VMware Workstation v.10.0.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
Radmin Server 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
meps85

meps85 0

Опубликовано
  • Автор
Опубликовано

Доброго дня! 

придется похоже переустанавливать систему - не получается архив акрониса запустить 

пишет "это не последний том архива"....

вариантов для "оживления" архива акрониса больше нет?

или можно еще что-то сделать?

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • R3DSTALK3R
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
×
×
  • Создать...