Перейти к содержанию

Зашифровали данные на ПК с расширением .eking


Рекомендуемые сообщения

Поймал шифровальщик. Вероятно влез через RDP.

KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 

Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking

Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.

Addition.txt FRST.txt EncryptedFiles.zip

Изменено пользователем Andrews_vm
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [67367456 2024-05-01] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-05-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-05-01] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" [0 2021-11-17] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0001" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0003" [0 2024-04-25] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {04EAE97A-6CC7-4E17-A6E9-CAB604CCE07B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {2179E3AE-A805-4523-9CD3-9E82E75D3B41} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {269844BA-D98E-4352-8CA3-4DE3141B32A1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {5EB2092C-AA51-4419-8D92-BD1811445F4E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {68190A77-7324-433C-A44D-02517C091CAE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {683D015B-EFB3-4D13-B073-D5EF587A0F29} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {6A95D874-33E0-4D6D-9268-DA0E2B37FB5E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
Task: {7126E2AB-796D-475A-8DBC-FF7D7FEFAFE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {765E1FC9-ACD1-4401-9DD4-B5F3A766354B} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
Task: {94DD070D-4E57-4992-80A0-CCBC6C45CC64} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
Task: {A0984A54-0725-4387-B7AA-8681EB549249} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {A663F533-F0FA-4FF4-B23D-0E90C72C2052} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AE00848C-540F-4F8E-B15F-664C86BA77B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {B83F985F-502B-4599-8B7E-15F5D73A2FFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {BFC91995-D77D-494D-B6BF-6D729B81670C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Андрей\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1015\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1017\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1018\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli]
2024-04-30 21:08 - 2024-04-30 21:08 - 000005330 _____ C:\info.hta
2024-04-30 21:08 - 2024-04-30 21:08 - 000000105 _____ C:\info.txt
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Андрей\Cookies:iFKIuGzlzoliM0aMWBm2i [1978]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Justbox
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Anton S
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • PvC
      От PvC
      Здравствуйте. Требуется помощь по расшифровке.
      Тип шифровальщика - id[EA15627C-3531].[Accord77777@aol.com].faust
      Addition.txt FRST.txt Образцы.zip
    • Ak.512
      От Ak.512
      Здравствуйте!

      Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
      Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

       
×
×
  • Создать...