Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровали данные на ПК с расширением .eking

Andrews_vm
 Поделиться

Рекомендуемые сообщения

Andrews_vm

Andrews_vm

Опубликовано
Опубликовано (изменено)

Поймал шифровальщик. Вероятно влез через RDP.

KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 

Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking

Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.

Addition.txt FRST.txt EncryptedFiles.zip

Изменено пользователем Andrews_vm
safety

safety

Опубликовано
Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [67367456 2024-05-01] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-05-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-05-01] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" [0 2021-11-17] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0001" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0003" [0 2024-04-25] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {04EAE97A-6CC7-4E17-A6E9-CAB604CCE07B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {2179E3AE-A805-4523-9CD3-9E82E75D3B41} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {269844BA-D98E-4352-8CA3-4DE3141B32A1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {5EB2092C-AA51-4419-8D92-BD1811445F4E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {68190A77-7324-433C-A44D-02517C091CAE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {683D015B-EFB3-4D13-B073-D5EF587A0F29} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {6A95D874-33E0-4D6D-9268-DA0E2B37FB5E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
Task: {7126E2AB-796D-475A-8DBC-FF7D7FEFAFE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {765E1FC9-ACD1-4401-9DD4-B5F3A766354B} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
Task: {94DD070D-4E57-4992-80A0-CCBC6C45CC64} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
Task: {A0984A54-0725-4387-B7AA-8681EB549249} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {A663F533-F0FA-4FF4-B23D-0E90C72C2052} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AE00848C-540F-4F8E-B15F-664C86BA77B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {B83F985F-502B-4599-8B7E-15F5D73A2FFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {BFC91995-D77D-494D-B6BF-6D729B81670C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Андрей\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1015\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1017\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1018\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli]
2024-04-30 21:08 - 2024-04-30 21:08 - 000005330 _____ C:\info.hta
2024-04-30 21:08 - 2024-04-30 21:08 - 000000105 _____ C:\info.txt
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Андрей\Cookies:iFKIuGzlzoliM0aMWBm2i [1978]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexander Seregin
      Зашифрованы файлы nury_espitia@tuta.io
      Автор Alexander Seregin
      Заразились все физические компьютеры с работающим RDP
      virus.zipinfo.txtфайлы.zip
    • Sholpan
      зашифровали весь компьютер, ghost@mm.st, phobos
      Автор Sholpan
      Добрый день, зашифровали весь компьютер, все файлы. Оплатил в BC 1080USD - вначале просили 1200USD, дали скидку 10%. 
       
      После оплаты пропали на 24 часа, и потом вышли на связь выслали декриптор phobos 
      "Good afternoon. Sorry there were technical problems. Download the program, press the "SCAN" button, send the received code to us." 
      ph_decrypt
      Отправил код
      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
       
       
      Теперь снова тишина, 3 суток. 
      Не знаю, что делать, ждать или уже искать другие пути, если, конечно, они они есть
       
      Приложение
    • avotovich
      Атаковали шифровальщиком
      Автор avotovich
      не получается найти дешифровщика на "idB8A66682_3349_johnhelper123" вот такое вот чудо прилагаю ссылку на файл который можно потестировать
    • Dalex
      Поймали вирус-шифровальщик
      Автор Dalex
      Поймали вирус-шифровальщик, прошу FRST.txtпомочь с расшифровкой файлов.
      info.zip Addition.txt
    • itadler
      Помогите с шифровальщиком
      Автор itadler
      FRST.txtLicData2.txt.id[FC9CD4F7-3426].[decrypt@techie.com].zipAddition.txt
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь   
×
×
  • Создать...