Перейти к содержанию

Шифровальщик PHILIP_KIRKOROV

i.molvinskih
 Поделиться

Рекомендуемые сообщения

i.molvinskih Новичок

i.molvinskih

Опубликовано
Опубликовано

Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.

Шифрование произошло сегодня, журнал событий был очищен.

требования_и_зашифрованные_файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\...\Run: [KIRKOROV.exe] => C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt [2082 2024-04-15] () [Файл не подписан]
HKU\S-1-5-21-1682545234-2459113795-792553799-500\...\Run: [BitTorrent Sync] => "C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe"  /MINIMIZED (Нет файла)
Task: {E0B5A966-968A-4A6A-B50B-B9E086CD5480} - System32\Tasks\BPMonline DomRu push Telegram => C:\inetpub\telegram\domru.vbs  (Нет файла)
Task: {96AECD8E-F240-448F-882E-D46F220922B9} - System32\Tasks\BPMonline push Telegram => C:\inetpub\telegram\push.vbs  (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh]
2024-04-14 17:46 - 2024-04-15 07:17 - 000000000 ____D C:\Users\zazhivihin\AppData\Roaming\Process Hacker
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\Desktop\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:42 - 2024-04-15 07:17 - 000002082 _____ C:\PHILIP_KIRKOROV_DECRYPTION.txt
HKU\S-1-5-21-1682545234-2459113795-792553799-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{B036F38D-97AC-4F10-A9B8-A47705CFC61E}] => (Allow) LPort=25422
FirewallRules: [{0D84582A-5BB9-49CA-B628-A75129F2DC5A}] => (Allow) LPort=254
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программу Process Hacker деинсталлируйте, если не самостоятельно её ставили.

 

Пароли на учётные записи администраторов смените и уменьшите количество таких учёток.

К сожалению, расшифровки этого типа вымогателя нет.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
×
×
  • Создать...