Перейти к содержанию

Зашифровали данные на ПК с расширением .eking

Andrews_vm
 Share Подписчики 1

Рекомендуемые сообщения

Andrews_vm

Andrews_vm 0

Опубликовано
Опубликовано (изменено)

Поймал шифровальщик. Вероятно влез через RDP.

KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 

Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking

Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.

Addition.txt FRST.txt EncryptedFiles.zip

Изменено пользователем Andrews_vm
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 86

Опубликовано
Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [67367456 2024-05-01] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-05-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1013\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\macandrews\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-05-01] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007\amd64" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1015\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\mishkacool\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" [0 2021-11-17] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0001" [0 2024-04-30] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1818182016-3148895192-144315679-1017\...\RunOnce: [Uninstall 24.070.0407.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\vera\AppData\Local\Microsoft\OneDrive\24.070.0407.0003" [0 2024-04-25] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {04EAE97A-6CC7-4E17-A6E9-CAB604CCE07B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {2179E3AE-A805-4523-9CD3-9E82E75D3B41} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {269844BA-D98E-4352-8CA3-4DE3141B32A1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {5EB2092C-AA51-4419-8D92-BD1811445F4E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {68190A77-7324-433C-A44D-02517C091CAE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {683D015B-EFB3-4D13-B073-D5EF587A0F29} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {6A95D874-33E0-4D6D-9268-DA0E2B37FB5E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
Task: {7126E2AB-796D-475A-8DBC-FF7D7FEFAFE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {765E1FC9-ACD1-4401-9DD4-B5F3A766354B} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
Task: {94DD070D-4E57-4992-80A0-CCBC6C45CC64} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
Task: {A0984A54-0725-4387-B7AA-8681EB549249} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {A663F533-F0FA-4FF4-B23D-0E90C72C2052} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AE00848C-540F-4F8E-B15F-664C86BA77B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {B83F985F-502B-4599-8B7E-15F5D73A2FFC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {BFC91995-D77D-494D-B6BF-6D729B81670C} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Андрей\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1015\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1017\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKU\S-1-5-21-1818182016-3148895192-144315679-1018\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli]
2024-04-30 21:08 - 2024-04-30 21:08 - 000005330 _____ C:\info.hta
2024-04-30 21:08 - 2024-04-30 21:08 - 000000105 _____ C:\info.txt
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Андрей\Cookies:iFKIuGzlzoliM0aMWBm2i [1978]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Alexey2309
      Шифровальщик с расширением .deep
      От Alexey2309
      Здравствуйте! Словили шифровальщика, теперь все файлы с таким хвостом .id[86E0E144-3352].[miltonqq@tuta.io].deep
      Образцы в архиве. Пароль: virus
      Система загружается но ничего сделать не дает, не могу даже открыть диспетчер задач.
      virus.zip
    • webbuilding
      шифровальщик deep
      От webbuilding
      Два файл сервера, с документами, базами 1с, картинками - зашифрованы, расширение .deep
      В каждой папке info.txt с требованием выкупа
      !!!All of your files are encrypted!!! To decrypt them send e-mail to this address: miltonqq@tuta.io. If we don't answer in 24h, send messge to telegram: @DataSupport911
      во вложении логи FRST и архив с зашиврованными файлами (примеры).
      Подскажите, что делать?
      Уверенности в том что зловреды расшифруют файлы нет, даже если найдем 0.25 биткоина, которые требуют.
      Спасибо
      deep.zip FRST.txt Addition.txt
    • figabra
      Поймал шифровальщик
      От figabra
      Добрый день!
       
      Поймал шифровальщик Trojan-Ransom.Win32.Phobos.vho
      Все файлы имеют расширение .deep
      Помогите пожалуйста с расшифровкой.
       
      Заранее спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • ОлегОлег
      Зашифровал компьютеры Phobos. Помогите. расширение deep
      От ОлегОлег
      Компьютеры зашифрованы. Помогите
    • AciDancer
      Шифровальщик "Fast.exe" с почтой вымогателя qqtiq@tuta.io
      От AciDancer
      Доброй ночи.
      Поймал мой боец с админским доступом шифровальщик-вымогатель.
      Бэкапы есть только критической инфраструктуры и конечно же туда не входят пользовательские папки терминала и личные папки на файловом хранилище... 
      Сейчас уже всё основное восстановил, но как Вы понимаете - пользователи за свои папки меня растерзают. 
      Слёзно прошу помощи.
      Файлы логов диагностики + архив с 2мя зашифрованными файлами - прилагаю.
      Addition.txt FRST.txt Shortcut.txt zip arhive.zip
×
×
  • Создать...