Перейти к содержанию

Шифровальщик оставил открытую программу шифрования

Daubarg
 Share Подписчики 1

Рекомендуемые сообщения

Daubarg

Daubarg 0

Опубликовано
Опубликовано

Добрый день. Запустили шифровальщик, есть подозрение, что злонамеренно и кто-то из своих

Есть способ получить ключ, если осталась папка и доступ к программе шифрования?

Screenshot_2 (1).png

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

папку добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС (личные собщения)

по теме:

добавьте все необходимые логи и файлы согласно правилам.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу с перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe <4>
(C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe ->) () [Файл не подписан] C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\gui40.exe
(C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe ->) (voidtools -> voidtools) C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\Everything.exe
HKLM\...\Run: [NESCHELKAIEBALOM] => C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe [2494464 2023-03-23] () [Файл не подписан]
IFEO\1cv8.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-879808309-3615634800-999139866-2606\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F6320834-0D75-4898-A46E-D0B369DC8197} - System32\Tasks\{382206AF-3B40-4179-A5AB-6282A401826A} => C:\Users\nekrasov.yv\AppData\Local\Temp\0022BEB3-27D6-4BC1-BA20-1551EAD85D2E\ga_service.exe  /uninstall (Нет файла) <==== ВНИМАНИЕ
2024-04-09 13:12 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • R3DSTALK3R
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
×
×
  • Создать...