Перейти к содержанию

Шифровальщик ProblemSolver@onionmail.com


Рекомендуемые сообщения

Доброго дня.

Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.

Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar

Ссылка на комментарий
Поделиться на другие сайты

Файл шифровальщика нашли? можете предоставить логи сканирования, если чистили систему Kvrt или Cureit?

Ссылка на комментарий
Поделиться на другие сайты

Проверьте системный диск с помощью KVRT или Cureit, добавьте логи сканирования (если файл большой, поместите в архив без пароля) в ваше сообщение. +проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Возможно, файлы зашифрованы PROTON Ransomware.

Если был доступ извне по RDP, возможно получили доступ к одной из учетных записей.

SHINRA Ransomware - Decryption, removal, and lost files recovery (pcrisk.com)

https://github.com/rivitna/Malware/tree/main/Proton

Quote

Shinra

31eec61ed6866e0b4b3d6b26a3a7d65fed040df61062dd468a1f5be8cc709de7   2024-04-23 11:10:25    SHINRA2
941a95c85a4b37bff4571d49eb918a5094a032ac1416bded3a3cd3427ecf984c    2024-04-28 18:37:12    SHINRA3

Proton Ransomware (..c77L; #Restore-files.txt) Support Topic - Ransomware Help & Tech Support (bleepingcomputer.com)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
HKU\S-1-5-21-3931805650-2299557408-3917352732-500\...\Policies\system: [DisableTaskMgr] 1
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\utilman.exe: [Debugger] systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты

7 minutes ago, chasey said:

у меня тоже самое( но теневые копии спасли 2 диска 

Создайте, пожалуйста, отдельную тему в данном разделе, и добавьте все необходимые файлы и логи: несколько зашифрованных файлов, записка о выкупе, логи FRST.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...