Перейти к содержанию

Рекомендуемые сообщения

Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Нужно расшифровать базы MSSQL, а то мне уже нехорошо.

FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip

Изменено пользователем SergD
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файл Addition.txt получился неполный. Переделайте, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

Во время работы FRST64.exe вываливается окошко со следующим текстом:

 

Line 9294 (File F:\Distribs\FRST64.exe"):

Error: Variable used without being declared.

 

При запуске FRST.exe появляется сообщение о несовместимости с операционной системой.

 

Нашел более раннюю версию FRST, отработала без ошибок. Файлы пилагаю.

FRST.zip

Изменено пользователем SergD
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Заражение файловым вирусом Neshta часто сопутствует шифрованию. Его очистку следует производить с внешнего носителя с помощью KRD.

 

Сделаем некоторую очистку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Downloads\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\Program Files (x86)\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Common Files\Restore_Your_Files.txt
    File: C:\Windows\bck.exe
    File: C:\Windows\SysMain.sys
    FirewallRules: [{CD5A2917-0C0E-4C15-B186-C04F92C9AB2A}] => (Block) LPort=445
    FirewallRules: [{91119C87-CCDB-4CA9-8177-6F09E64E37A9}] => (Allow) LPort=65532
    FirewallRules: [{0D54E922-0864-4D5D-9871-C08AEF366717}] => (Allow) LPort=65531
    FirewallRules: [{9DC8EBEA-19F0-43ED-95CD-5098AFC6BAFA}] => (Allow) LPort=65533
    FirewallRules: [{87B9A4FD-1934-4710-AF4A-955B3E59519A}] => (Block) LPort=445
    FirewallRules: [{AA179FC3-8DB7-49DF-AF40-FA395DBF7804}] => (Block) LPort=445
    FirewallRules: [{149B33D6-FA0D-4D89-A165-07699FF2A474}] => (Block) LPort=445
    FirewallRules: [{90147A48-7562-4681-A533-B3DBADDE2349}] => (Block) LPort=445
    FirewallRules: [{343900D3-FF20-466B-A98E-BD6834DF06AD}] => (Allow) LPort=475
    FirewallRules: [{C5BCCE39-EEA4-45BA-B515-3E2B8A64C6A0}] => (Allow) LPort=475
    FirewallRules: [{93C0DB51-CA40-4FA8-8BB6-196FDFF126DD}] => (Allow) LPort=1688
    FirewallRules: [{5C743F78-53AC-4A8D-ADAD-3776BDF98E99}] => (Allow) LPort=1688
    FirewallRules: [{EA16A2B1-1932-426C-87C7-2AD5957C8684}] => (Allow) LPort=1688
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли трёх учётных записей с правами администратора смените.

Ссылка на сообщение
Поделиться на другие сайты

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

 

Эти два файла

C:\Windows\bck.exe
C:\Windows\SysMain.sys

аккуратно упакуйте в архив с паролем. Залейте его на файлообменник (или облако) и ссылку на скачивание вместе с паролем дайте личным сообщением.

Ссылка на сообщение
Поделиться на другие сайты
Quote

 

зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

 

 

Да. файл во вложении Xinfecter.exe является шифровальщиком, дополнительно заражен Neshta, как это любят делать некоторые группы злоумышленников:

вместе с шифрованием файлов еще заражают исполняемые файлы в системе.

 

По данному типу RCRU64, к сожалению, нет возможности расшифровать файлы без приватного ключа.

Cохраните важные зашифрованные документы  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • de_Gauss
      От de_Gauss
      Файлы в общей папке были зашифрованы. Есть часть оригинальных файлов. KIS при сканировании определил заразу как "Trojan-Ransom.Win32.Rannoh". Декриптор от Касперского к сожалению файлы не видит, видно что-то новое. Прошу помощи.
      Оригиналы и зашифрованные файлы лежат здесь. При необходимости могу добавить ещё несколько образцов.
       https://disk.yandex.ru/d/YbtE77b9yLa2wQ
    • chrpk
      От chrpk
      Здравствуйте.
      Зашифрованы файлы на сервере. После шифровки переименованы по шаблону <Filename>_[ID-*****_Mail-<email>].HPL
      Не смог определить онлайн сервисами(Nomoreransom, id-ransomware), что это за зверь.
      Restore_Your_Files.txt
    • 1078kmm4
      От 1078kmm4
      Добрый день необходима помощь в расшифровке файлов .LL4
      Предположительно инфицирован Trojan.Encoder.37400. 
      CollectionLog-2023.07.24-18.49.zip
    • aleksturbo
      От aleksturbo
      Всем добрый день.
      Зловред зашифровал все полезные файлы - на выходе файлы вида Текстовый документ.txt_[ID-9F2KW_Mail-cryhelp45@gmail.com].BJP
      Помогите с подбором лекарства
      Текстовый документ.txt_[ID-9F2KW_Mail-cryhelp45@gmail.com].BJP.zip
    • Алексей_Кокарев
      От Алексей_Кокарев
      В ночь на 2 февраля  на сервере зашифровано почти всё
      WindowsServer 2008 (64 разр)
      Скорее всего через терминальный доступ кто то прорвался...  
      Стандартная работа сервера, SQL,для 1С 7  и 1с-8
      Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 
      Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
      Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

      И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
       
      E7M_отчет.rar E7M_файлы.rar
×
×
  • Создать...