Перейти к содержанию

Зашифровали данные на ПК с расширением .eking

Andrews_vm
 Share

Рекомендуемые сообщения

Andrews_vm Новичок

Andrews_vm

Опубликовано
Опубликовано (изменено)

Поймал шифровальщик. Вероятно влез через RDP.

KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 

Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking

Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.

Addition.txt FRST.txt EncryptedFiles.zip

Изменено пользователем Andrews_vm
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [67367456 2024-05-01] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-05-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-05-01] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" [0 2021-11-17] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0001" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0003" [0 2024-04-25] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {04EAE97A-6CC7-4E17-A6E9-CAB604CCE07B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {2179E3AE-A805-4523-9CD3-9E82E75D3B41} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {269844BA-D98E-4352-8CA3-4DE3141B32A1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {5EB2092C-AA51-4419-8D92-BD1811445F4E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {68190A77-7324-433C-A44D-02517C091CAE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {683D015B-EFB3-4D13-B073-D5EF587A0F29} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {6A95D874-33E0-4D6D-9268-DA0E2B37FB5E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
Task: {7126E2AB-796D-475A-8DBC-FF7D7FEFAFE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {765E1FC9-ACD1-4401-9DD4-B5F3A766354B} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
Task: {94DD070D-4E57-4992-80A0-CCBC6C45CC64} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
Task: {A0984A54-0725-4387-B7AA-8681EB549249} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {A663F533-F0FA-4FF4-B23D-0E90C72C2052} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AE00848C-540F-4F8E-B15F-664C86BA77B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {B83F985F-502B-4599-8B7E-15F5D73A2FFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {BFC91995-D77D-494D-B6BF-6D729B81670C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Андрей\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1015\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1017\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1018\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli]
2024-04-30 21:08 - 2024-04-30 21:08 - 000005330 _____ C:\info.hta
2024-04-30 21:08 - 2024-04-30 21:08 - 000000105 _____ C:\info.txt
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Андрей\Cookies:iFKIuGzlzoliM0aMWBm2i [1978]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • AYu
      Зашифровали данные сервера. Расширение .griffin
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...