Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Зашифровали данные на ПК с расширением .eking

Andrews_vm
 Share Подписчики 1

Рекомендуемые сообщения

Andrews_vm

Andrews_vm 0

Опубликовано
Опубликовано (изменено)

Поймал шифровальщик. Вероятно влез через RDP.

KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 

Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking

Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.

Addition.txt FRST.txt EncryptedFiles.zip

Изменено пользователем Andrews_vm
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [67367456 2024-05-01] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-05-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-05-01] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" [0 2021-11-17] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0001" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0003" [0 2024-04-25] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {04EAE97A-6CC7-4E17-A6E9-CAB604CCE07B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {2179E3AE-A805-4523-9CD3-9E82E75D3B41} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {269844BA-D98E-4352-8CA3-4DE3141B32A1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {5EB2092C-AA51-4419-8D92-BD1811445F4E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {68190A77-7324-433C-A44D-02517C091CAE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {683D015B-EFB3-4D13-B073-D5EF587A0F29} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {6A95D874-33E0-4D6D-9268-DA0E2B37FB5E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
Task: {7126E2AB-796D-475A-8DBC-FF7D7FEFAFE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {765E1FC9-ACD1-4401-9DD4-B5F3A766354B} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
Task: {94DD070D-4E57-4992-80A0-CCBC6C45CC64} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
Task: {A0984A54-0725-4387-B7AA-8681EB549249} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {A663F533-F0FA-4FF4-B23D-0E90C72C2052} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AE00848C-540F-4F8E-B15F-664C86BA77B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {B83F985F-502B-4599-8B7E-15F5D73A2FFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {BFC91995-D77D-494D-B6BF-6D729B81670C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Андрей\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1015\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1017\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1018\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli]
2024-04-30 21:08 - 2024-04-30 21:08 - 000005330 _____ C:\info.hta
2024-04-30 21:08 - 2024-04-30 21:08 - 000000105 _____ C:\info.txt
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Андрей\Cookies:iFKIuGzlzoliM0aMWBm2i [1978]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • PvC
      Шифровальщик id[EA15627C-3531].[Accord77777@​aol.com].faust
      От PvC
      Здравствуйте. Требуется помощь по расшифровке.
      Тип шифровальщика - id[EA15627C-3531].[Accord77777@aol.com].faust
      Addition.txt FRST.txt Образцы.zip
    • Ak.512
      Атака шифровальщиком .FAUST на инфраструктуру компании.
      От Ak.512
      Здравствуйте!

      Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
      Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

       
    • DDreal
      Вирус шифровальщик id[66AE5CCB-3531].[Accord77777@​aol.com].faust
      От DDreal
      добрый день, существует ли на сегодня расшифровка данного типа вируса.
      id[66AE5CCB-3531].[Accord77777@aol.com].faust 
      есть сам вирус есть зашифрованный файл есть так же расшифрованный
       
       
    • bygi13
      Шифровальщик
      От bygi13
      Вирус шифровальщик
    • Timur1
      Шифровальщик .OOH
      От Timur1
      Всем привет!

      Несколько недель назад шифровальщик (.OOH) зашифровал все файлы, которые находились в Общей папке. Еще раз только общая папка была подвержена атаке. 
      На каждом файле есть такая надпись "id[289E1C38-3308].[gdecryptor5@onionmail.org].OOH".
       
      Перепробовали все бесплатные ransomware утилиты от Касперского, Аваста и тд. Не помогло. Антивирусы не находят ничего.
       
      Что я могу еще попробовать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
×
×
  • Создать...