Перейти к содержанию

Шифровальщик "NESCHELKAIEBALOM"

meps85
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Лог собирали в режиме восстановления системы. Почему? В нормальном режиме система не загружается?

meps85

meps85

Опубликовано
  • Автор
Опубликовано

Не пробовал, если честно - сразу со среды восстановления снял лог. 

Сейчас попробую скинуть с нормального режима

 

 

Лог с нормального режима

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этого типа вымогателя нет.

 

Политику IPSec настраивали самостоятельно?

Цитата

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)

 

Помощь в очистке следов вымогателя нужна или будет переустановка системы?
 

meps85

meps85

Опубликовано
  • Автор
Опубликовано

 IPSec не настраивал

Хотелось бы попробовать восстановить действующую систему, или хотя бы чистку файлов провести, чтобы восстановить с помощьюacronis  

 

 

Sandor

Sandor

Опубликовано
Опубликовано

С помощью Acronis вы ведь восстанавливаете полный образ системы. При этом очистка текущего состояния не нужна.

Под "чисткой файлов" что вы подразумеваете? Расшифровку? Её нет, я ответил выше.

meps85

meps85

Опубликовано
  • Автор
Опубликовано

файлы acronis не запускаются почему-то...

пишет: "это не последний том архива"

там все файлы были с добавлением .NESCELKAIEBALOM

вручную переименовал - не помогло... Архив акрониса не открывается...

непонятно как файл акрониса "оживить", чтобы восстановление системы сделать....

 

 

Sandor

Sandor

Опубликовано
Опубликовано

А, теперь понятно. Ваши бекапы оказались тоже зашифрованными. Простое переименование, конечно, не поможет.

Впредь вам наука, бекапы должны храниться в защищенном месте.

 

Пароли администраторов смените, скорее всего были взломаны.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {0df94d8d-4816-11e4-afc6-806e6f6e6963} - D:\Bin\ASSETUP.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a5292-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a52a1-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2022-06-10]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
2024-04-07 22:35 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-08 01:02 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\ПЧ\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
FirewallRules: [{AB839019-4356-406A-A4B0-9911D7D833C9}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{AE45D87E-EF01-41C3-BBBD-85CB53A80E91}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{62D452AF-7A82-4492-9966-DE4AA379D967}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{40480F95-0A6A-458D-85B3-72625D4D251C}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Дополнительно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
 

Так ли страшен контроль учетных записей (UAC)?

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Если решите продолжать работать на семерке, обязательно установите все перечисленные хотфиксы (особенно HotFix KB4012212), иначе очередной взлом не заставит себя ждать.

 

AnyDesk v.ad 7.0.14 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
VMware Workstation v.10.0.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
Radmin Server 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

meps85

meps85

Опубликовано
  • Автор
Опубликовано

Доброго дня! 

придется похоже переустанавливать систему - не получается архив акрониса запустить 

пишет "это не последний том архива"....

вариантов для "оживления" архива акрониса больше нет?

или можно еще что-то сделать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalosha
      Поймали шифровальщик
      Автор kalosha
      Доброго времени суток. на компе поработал шифровальщик. прошу подсказать чем можно расшифровать все файлы. Логи прикрепил. Так же прикрепил файл с возможным ключом и с зашифрованным файлом в архиве session.rar
      CollectionLog-2026.01.14-09.38.zip session.rar
    • Salien
      Шифровальщик зашифровал все файлы на ПК
      Автор Salien
      Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 
    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
×
×
  • Создать...