Перейти к содержанию

Поймал шифровальщик, все файлы зашифрованы

Renatir
 Поделиться

Рекомендуемые сообщения

Renatir

Renatir

Опубликовано
Опубликовано (изменено)

Всем доброго времени суток!
Неизвестно каким способом поймал шифровальщик, теперь файлы не открываются и имеют странное скрытое расширение "NBJCbL2xk".
Также появился новый раздел диска, которого на моей памяти не было ранее с наименованием "Зарезервировано системой (A:)"
Прошу помочь победить эту заразу
Не разобрался как прикрепить здесь файлы, залил на файлообменник: https://ru.files.me/u/bxqkwuuhrg

Примеры файлов.rar FRST.txt Addition.txt NBJCbL2xk.README.txt

Изменено пользователем Renatir
Прикрепил файлы
safety

safety

Опубликовано
Опубликовано

Если сохранилось вложение с исполняемым файлом из почты, добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу и перезагрузит систему. 

Start::
(explorer.exe ->) (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [BraveUpdater.exe] => C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe [322256 2024-02-09] (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [6572293953.tmp] => C:\Users\User\AppData\Roaming\6572293953.tmp.exe [139128 2024-03-20] (KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NBJCbL2xk.README.txt [2024-03-26] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DDD9C68E5A46A <==== ВНИМАНИЕ (Rootkit!)
2024-03-26 11:19 - 2024-03-26 11:19 - 002880054 _____ C:\ProgramData\NBJCbL2xk.bmp
2024-03-20 09:45 - 2024-03-20 09:45 - 000139128 _____ (VGA Boot Driver) C:\Users\User\AppData\Roaming\6572293953.tmp.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Renatir

Renatir

Опубликовано
  • Автор
Опубликовано

Прикладываю fixlog
Ссылку на папку карантин отправил в ЛС
Исполняемый файл найти пока не смог, не могу определить в какой момент все это произошло, пока ищу за какую дату зацепиться, чтобы найти файл

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FreakaFree
      Шифровальщик .8PbsCcHuo
      Автор FreakaFree
      Добрый день! Словили шифровальщик с расширением .8PbsCcHuo
      Все файлы зашифровало, есть возможность расшифровать?
    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
×
×
  • Создать...