Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик PHILIP_KIRKOROV

i.molvinskih
 Share Подписчики 2

Рекомендуемые сообщения

i.molvinskih

i.molvinskih 0

Опубликовано
Опубликовано

Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.

Шифрование произошло сегодня, журнал событий был очищен.

требования_и_зашифрованные_файлы.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 293

Опубликовано
Опубликовано

Здравствуйте!

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\...\Run: [KIRKOROV.exe] => C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt [2082 2024-04-15] () [Файл не подписан]
HKU\S-1-5-21-1682545234-2459113795-792553799-500\...\Run: [BitTorrent Sync] => "C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe"  /MINIMIZED (Нет файла)
Task: {E0B5A966-968A-4A6A-B50B-B9E086CD5480} - System32\Tasks\BPMonline DomRu push Telegram => C:\inetpub\telegram\domru.vbs  (Нет файла)
Task: {96AECD8E-F240-448F-882E-D46F220922B9} - System32\Tasks\BPMonline push Telegram => C:\inetpub\telegram\push.vbs  (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh]
2024-04-14 17:46 - 2024-04-15 07:17 - 000000000 ____D C:\Users\zazhivihin\AppData\Roaming\Process Hacker
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\Desktop\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:42 - 2024-04-15 07:17 - 000002082 _____ C:\PHILIP_KIRKOROV_DECRYPTION.txt
HKU\S-1-5-21-1682545234-2459113795-792553799-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{B036F38D-97AC-4F10-A9B8-A47705CFC61E}] => (Allow) LPort=25422
FirewallRules: [{0D84582A-5BB9-49CA-B628-A75129F2DC5A}] => (Allow) LPort=254
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программу Process Hacker деинсталлируйте, если не самостоятельно её ставили.

 

Пароли на учётные записи администраторов смените и уменьшите количество таких учёток.

К сожалению, расшифровки этого типа вымогателя нет.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      Зашифровали 1С, документы и файлы предприятия
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
×
×
  • Создать...