Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик "NESCHELKAIEBALOM"

meps85
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Лог собирали в режиме восстановления системы. Почему? В нормальном режиме система не загружается?

meps85

meps85

Опубликовано
  • Автор
Опубликовано

Не пробовал, если честно - сразу со среды восстановления снял лог. 

Сейчас попробую скинуть с нормального режима

 

 

Лог с нормального режима

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этого типа вымогателя нет.

 

Политику IPSec настраивали самостоятельно?

Цитата

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)

 

Помощь в очистке следов вымогателя нужна или будет переустановка системы?
 

meps85

meps85

Опубликовано
  • Автор
Опубликовано

 IPSec не настраивал

Хотелось бы попробовать восстановить действующую систему, или хотя бы чистку файлов провести, чтобы восстановить с помощьюacronis  

 

 

Sandor

Sandor

Опубликовано
Опубликовано

С помощью Acronis вы ведь восстанавливаете полный образ системы. При этом очистка текущего состояния не нужна.

Под "чисткой файлов" что вы подразумеваете? Расшифровку? Её нет, я ответил выше.

meps85

meps85

Опубликовано
  • Автор
Опубликовано

файлы acronis не запускаются почему-то...

пишет: "это не последний том архива"

там все файлы были с добавлением .NESCELKAIEBALOM

вручную переименовал - не помогло... Архив акрониса не открывается...

непонятно как файл акрониса "оживить", чтобы восстановление системы сделать....

 

 

Sandor

Sandor

Опубликовано
Опубликовано

А, теперь понятно. Ваши бекапы оказались тоже зашифрованными. Простое переименование, конечно, не поможет.

Впредь вам наука, бекапы должны храниться в защищенном месте.

 

Пароли администраторов смените, скорее всего были взломаны.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {0df94d8d-4816-11e4-afc6-806e6f6e6963} - D:\Bin\ASSETUP.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a5292-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a52a1-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2022-06-10]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
2024-04-07 22:35 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
2024-04-08 01:02 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\ПЧ\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
FirewallRules: [{AB839019-4356-406A-A4B0-9911D7D833C9}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{AE45D87E-EF01-41C3-BBBD-85CB53A80E91}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{62D452AF-7A82-4492-9966-DE4AA379D967}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
FirewallRules: [{40480F95-0A6A-458D-85B3-72625D4D251C}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Дополнительно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
 

Так ли страшен контроль учетных записей (UAC)?

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Если решите продолжать работать на семерке, обязательно установите все перечисленные хотфиксы (особенно HotFix KB4012212), иначе очередной взлом не заставит себя ждать.

 

AnyDesk v.ad 7.0.14 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
VMware Workstation v.10.0.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
Radmin Server 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

meps85

meps85

Опубликовано
  • Автор
Опубликовано

Доброго дня! 

придется похоже переустанавливать систему - не получается архив акрониса запустить 

пишет "это не последний том архива"....

вариантов для "оживления" архива акрониса больше нет?

или можно еще что-то сделать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tangous
      Снова... Зашифровали файлы и требуют выкуп.
      Автор Tangous
      Помогите пож.
      Проекты САМ и САД. Работа последних лет.
       
      Addition.txt FRST.txt sample_vir.zip
    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...