Перейти к содержанию

Поймал шифровальщик, все файлы зашифрованы

Renatir
 Поделиться

Рекомендуемые сообщения

Renatir

Renatir

Опубликовано
Опубликовано (изменено)

Всем доброго времени суток!
Неизвестно каким способом поймал шифровальщик, теперь файлы не открываются и имеют странное скрытое расширение "NBJCbL2xk".
Также появился новый раздел диска, которого на моей памяти не было ранее с наименованием "Зарезервировано системой (A:)"
Прошу помочь победить эту заразу
Не разобрался как прикрепить здесь файлы, залил на файлообменник: https://ru.files.me/u/bxqkwuuhrg

Примеры файлов.rar FRST.txt Addition.txt NBJCbL2xk.README.txt

Изменено пользователем Renatir
Прикрепил файлы
safety

safety

Опубликовано
Опубликовано

Если сохранилось вложение с исполняемым файлом из почты, добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу и перезагрузит систему. 

Start::
(explorer.exe ->) (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [BraveUpdater.exe] => C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe [322256 2024-02-09] (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [6572293953.tmp] => C:\Users\User\AppData\Roaming\6572293953.tmp.exe [139128 2024-03-20] (KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NBJCbL2xk.README.txt [2024-03-26] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DDD9C68E5A46A <==== ВНИМАНИЕ (Rootkit!)
2024-03-26 11:19 - 2024-03-26 11:19 - 002880054 _____ C:\ProgramData\NBJCbL2xk.bmp
2024-03-20 09:45 - 2024-03-20 09:45 - 000139128 _____ (VGA Boot Driver) C:\Users\User\AppData\Roaming\6572293953.tmp.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Renatir

Renatir

Опубликовано
  • Автор
Опубликовано

Прикладываю fixlog
Ссылку на папку карантин отправил в ЛС
Исполняемый файл найти пока не смог, не могу определить в какой момент все это произошло, пока ищу за какую дату зацепиться, чтобы найти файл

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gaspar77
      Поймал шифровальщика. Файлы .telegram
      Автор Gaspar77
      Добрый день.
      Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.
      Касперский Endpoint Security не помог. И сейчас файла вируса не находит.
      Помогите пожалуйста с расшифровкой.
      frst.rar Crypted.rar text.rar
    • kseninon
      Поймала шифровальщика, как восстановить файлы?
      Автор kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • DanGer50143
      Поймал шифровальщик, заблокированы файлы
      Автор DanGer50143
      Собрал образ, как в других обсуждениях. 
      Также прикрепил файл вымогатель😔
       
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Алексей Красный Ключ
      Шифровальщик зашифровал файлы
      Автор Алексей Красный Ключ
      Добрый день!
      Шифровальщик зашифровал файлы с расширением ELPACO-team
      Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Decryption_INFO.zip
×
×
  • Создать...