Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймал шифровальщик, все файлы зашифрованы

Renatir
 Share Подписчики 0

Рекомендуемые сообщения

Renatir

Renatir 0

Опубликовано
Опубликовано (изменено)

Всем доброго времени суток!
Неизвестно каким способом поймал шифровальщик, теперь файлы не открываются и имеют странное скрытое расширение "NBJCbL2xk".
Также появился новый раздел диска, которого на моей памяти не было ранее с наименованием "Зарезервировано системой (A:)"
Прошу помочь победить эту заразу
Не разобрался как прикрепить здесь файлы, залил на файлообменник: https://ru.files.me/u/bxqkwuuhrg

Примеры файлов.rar FRST.txt Addition.txt NBJCbL2xk.README.txt

Изменено пользователем Renatir
Прикрепил файлы
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

Если сохранилось вложение с исполняемым файлом из почты, добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу и перезагрузит систему. 

Start::
(explorer.exe ->) (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
(KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] C:\Users\User\AppData\Roaming\6572293953.tmp.exe
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [BraveUpdater.exe] => C:\Users\User\AppData\Local\Temp\Rar$EXa6716.11856\Aкт cвepки взaимopacчeтoв за периoд  01.12.2023 - 08.02.2024 гoдa.exe [322256 2024-02-09] (Sputnik -> Компонент подключений к удаленным рабочим столам и приложениям RemoteApp) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-1334203968-2911866929-1983065713-1000\...\Run: [6572293953.tmp] => C:\Users\User\AppData\Roaming\6572293953.tmp.exe [139128 2024-03-20] (KeepSolid Inc. -> VGA Boot Driver) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NBJCbL2xk.README.txt [2024-03-26] () [Файл не подписан]
HKLM\SYSTEM\CurrentControlSet\Services\458DDD9C68E5A46A <==== ВНИМАНИЕ (Rootkit!)
2024-03-26 11:19 - 2024-03-26 11:19 - 002880054 _____ C:\ProgramData\NBJCbL2xk.bmp
2024-03-20 09:45 - 2024-03-20 09:45 - 000139128 _____ (VGA Boot Driver) C:\Users\User\AppData\Roaming\6572293953.tmp.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты
Renatir

Renatir 0

Опубликовано
  • Автор
Опубликовано

Прикладываю fixlog
Ссылку на папку карантин отправил в ЛС
Исполняемый файл найти пока не смог, не могу определить в какой момент все это произошло, пока ищу за какую дату зацепиться, чтобы найти файл

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

судя по логу FRST

шифрование было на эту дату:

2024-03-26 11:14 - 2024-03-26 10:21 - 000001852 _____ C:\Users\User\AppData\LocalLow\NBJCbL2xk.README.txt

 

с расшифровкой по данному типу шифровальщиков не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Radik_Gilmanov
      вирус-шифровальщик LockBit Black
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • mappey3
      поймали шифровальный вирус (Файл "WBMVRWKMD" (.wbmVRwkmD))
      От mappey3
      все файлы зашифрованы как быть с этим?

    • T3D
      Зашифрованы файлы локальной сети (LockBit 3.0)
      От T3D
      Произошло шифрование файлов. Был запущен процесс LB3.exe, на момент сканирования, процесс был закрыт. В приложении зашифрованные файлы (по одному из них предоставил его восстановленный из бэкапа вариант). Файл-шифровальщик сохранен. При необходимости может быть предоставлен.
      Addition.txt FRST.txt приложение.zip
    • Muhamor
      Зашифровало нужные файлы.
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
    • S14Y3R
      PC Locker 3.0 от Mr. Robot
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7
      FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip
×
×
  • Создать...