Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик ProblemSolver@onionmail.com

MaxBarsk
 Поделиться

Рекомендуемые сообщения

MaxBarsk Новичок

MaxBarsk

Опубликовано
Опубликовано

Доброго дня.

Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.

Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Проверьте системный диск с помощью KVRT или Cureit, добавьте логи сканирования (если файл большой, поместите в архив без пароля) в ваше сообщение. +проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, файлы зашифрованы PROTON Ransomware.

Если был доступ извне по RDP, возможно получили доступ к одной из учетных записей.

SHINRA Ransomware - Decryption, removal, and lost files recovery (pcrisk.com)

https://github.com/rivitna/Malware/tree/main/Proton

Quote

Shinra

31eec61ed6866e0b4b3d6b26a3a7d65fed040df61062dd468a1f5be8cc709de7   2024-04-23 11:10:25    SHINRA2
941a95c85a4b37bff4571d49eb918a5094a032ac1416bded3a3cd3427ecf984c    2024-04-28 18:37:12    SHINRA3

Proton Ransomware (..c77L; #Restore-files.txt) Support Topic - Ransomware Help & Tech Support (bleepingcomputer.com)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
HKU\S-1-5-21-3931805650-2299557408-3917352732-500\...\Policies\system: [DisableTaskMgr] 1
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\utilman.exe: [Debugger] systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
7 minutes ago, chasey said:

у меня тоже самое( но теневые копии спасли 2 диска 

Создайте, пожалуйста, отдельную тему в данном разделе, и добавьте все необходимые файлы и логи: несколько зашифрованных файлов, записка о выкупе, логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
×
×
  • Создать...