Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Поймал шифровальщик, все файлы зашифрованы

Renatir
 Share Подписчики 0

Рекомендуемые сообщения

Renatir

Renatir 0

Опубликовано
Опубликовано (изменено)

Всем доброго времени суток!
Неизвестно каким способом поймал шифровальщик, теперь файлы не открываются и имеют странное скрытое расширение "NBJCbL2xk".
Также появился новый раздел диска, которого на моей памяти не было ранее с наименованием "Зарезервировано системой (A:)"
Прошу помочь победить эту заразу
Не разобрался как прикрепить здесь файлы, залил на файлообменник: https://ru.files.me/u/bxqkwuuhrg

Примеры файлов.rar FRST.txt Addition.txt NBJCbL2xk.README.txt

Изменено пользователем Renatir
Прикрепил файлы
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

Если сохранилось вложение с исполняемым файлом из почты, добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу и перезагрузит систему. 

Start::
(explorer.exe ->) (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [BraveUpdater.exe] => C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe [322256 2024-02-09] (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [6572293953.tmp] => C:\Users\User\AppData\Roaming\6572293953.tmp.exe [139128 2024-03-20] (KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NBJCbL2xk.README.txt [2024-03-26] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DDD9C68E5A46A <==== ВНИМАНИЕ (Rootkit!)
2024-03-26 11:19 - 2024-03-26 11:19 - 002880054 _____ C:\ProgramData\NBJCbL2xk.bmp
2024-03-20 09:45 - 2024-03-20 09:45 - 000139128 _____ (VGA Boot Driver) C:\Users\User\AppData\Roaming\6572293953.tmp.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты
Renatir

Renatir 0

Опубликовано
  • Автор
Опубликовано

Прикладываю fixlog
Ссылку на папку карантин отправил в ЛС
Исполняемый файл найти пока не смог, не могу определить в какой момент все это произошло, пока ищу за какую дату зацепиться, чтобы найти файл

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

судя по логу FRST

шифрование было на эту дату:

2024-03-26 11:14 - 2024-03-26 10:21 - 000001852 _____ C:\Users\User\AppData\LocalLow\NBJCbL2xk.README.txt

 

с расшифровкой по данному типу шифровальщиков не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Aleksandr_85
      Зашифровали виртуализацию и все файлы
      От Aleksandr_85
      Здравствуйте. 
      Зашифровали ВМ и все файлы на физических серверах.Archive.zip
    • Никита В
      Ночью зашифровали сервер виртуализации
      От Никита В
      Вечером офис завершил работу.
      Утром не смогли подключиться к виртуальным серверам и гипервизору. На гипервизор удалось зайти с локальной учётной записью администратора после нескольких аппаратных перезагрузок.
      Систему не переустанавливали. С вымогателями не связывались.
       
      CRYPT.zip
    • Ильнур Садыков
      Шифровальщик HEUR:Backdoor.MSIL.RRAT.gen
      От Ильнур Садыков
      Вирус шифровальщик пришел по почте, бухгалтер запустила. В прикрепе логи программы Farbar Recovery Scan Tool,файло сам вирус в Zip архиве (пароль 123456) и два зашифрованных файла. Прошу Вас помочь в расшифровке.
      ВИРУС.7z Addition.txt FRST.txt Desktop.7z
      Записка.txt
    • Дмитрий Романович
      Помощь в вирусе шифровальщике j8mzhi9uZ
      От Дмитрий Романович
      Добрый день. Поймали вирус. Можно спасти базу? 
      прилагаю логи и сообщение о выкупе. 
      Архив.zip FRST.txt j8mzhi9uZ.README.txt Shortcut.txt
    • ivsh69
      шифровальщик
      От ivsh69
      Здравствуйте, зашифровали все рабочие файлы, доступ скорее всего получили череp rdp, Касперский Small Office Security 6 выключили, файл  с вымогательством прилагается.  Отправил им два зашифрованных файла (заархивировал их), они прислали расшифрованные два. тоже прилагаются. 
      xxzKHNO0a.README.txt Оборотно-сальдовая ведомость за Октябрь 2023 г..xlsx Счет на оплату № 27 от 17 января 2024 г.pdf dXCYb6w.zip
×
×
  • Создать...