Перейти к содержанию

Шифровальщик PHILIP_KIRKOROV

i.molvinskih
 Share Подписчики 2

Рекомендуемые сообщения

i.molvinskih

i.molvinskih 0

Опубликовано
Опубликовано

Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.

Шифрование произошло сегодня, журнал событий был очищен.

требования_и_зашифрованные_файлы.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Здравствуйте!

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\...\Run: [KIRKOROV.exe] => C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt [2082 2024-04-15] () [Файл не подписан]
HKU\S-1-5-21-1682545234-2459113795-792553799-500\...\Run: [BitTorrent Sync] => "C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe"  /MINIMIZED (Нет файла)
Task: {E0B5A966-968A-4A6A-B50B-B9E086CD5480} - System32\Tasks\BPMonline DomRu push Telegram => C:\inetpub\telegram\domru.vbs  (Нет файла)
Task: {96AECD8E-F240-448F-882E-D46F220922B9} - System32\Tasks\BPMonline push Telegram => C:\inetpub\telegram\push.vbs  (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh]
2024-04-14 17:46 - 2024-04-15 07:17 - 000000000 ____D C:\Users\zazhivihin\AppData\Roaming\Process Hacker
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\Desktop\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:42 - 2024-04-15 07:17 - 000002082 _____ C:\PHILIP_KIRKOROV_DECRYPTION.txt
HKU\S-1-5-21-1682545234-2459113795-792553799-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{B036F38D-97AC-4F10-A9B8-A47705CFC61E}] => (Allow) LPort=25422
FirewallRules: [{0D84582A-5BB9-49CA-B628-A75129F2DC5A}] => (Allow) LPort=254
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программу Process Hacker деинсталлируйте, если не самостоятельно её ставили.

 

Пароли на учётные записи администраторов смените и уменьшите количество таких учёток.

К сожалению, расшифровки этого типа вымогателя нет.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...