Перейти к содержанию

Рекомендуемые сообщения

Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Нужно расшифровать базы MSSQL, а то мне уже нехорошо.

FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip

Изменено пользователем SergD
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Файл Addition.txt получился неполный. Переделайте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Во время работы FRST64.exe вываливается окошко со следующим текстом:

 

Line 9294 (File F:\Distribs\FRST64.exe"):

Error: Variable used without being declared.

 

При запуске FRST.exe появляется сообщение о несовместимости с операционной системой.

 

Нашел более раннюю версию FRST, отработала без ошибок. Файлы пилагаю.

FRST.zip

Изменено пользователем SergD
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Заражение файловым вирусом Neshta часто сопутствует шифрованию. Его очистку следует производить с внешнего носителя с помощью KRD.

 

Сделаем некоторую очистку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Downloads\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\Program Files (x86)\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Common Files\Restore_Your_Files.txt
    File: C:\Windows\bck.exe
    File: C:\Windows\SysMain.sys
    FirewallRules: [{CD5A2917-0C0E-4C15-B186-C04F92C9AB2A}] => (Block) LPort=445
    FirewallRules: [{91119C87-CCDB-4CA9-8177-6F09E64E37A9}] => (Allow) LPort=65532
    FirewallRules: [{0D54E922-0864-4D5D-9871-C08AEF366717}] => (Allow) LPort=65531
    FirewallRules: [{9DC8EBEA-19F0-43ED-95CD-5098AFC6BAFA}] => (Allow) LPort=65533
    FirewallRules: [{87B9A4FD-1934-4710-AF4A-955B3E59519A}] => (Block) LPort=445
    FirewallRules: [{AA179FC3-8DB7-49DF-AF40-FA395DBF7804}] => (Block) LPort=445
    FirewallRules: [{149B33D6-FA0D-4D89-A165-07699FF2A474}] => (Block) LPort=445
    FirewallRules: [{90147A48-7562-4681-A533-B3DBADDE2349}] => (Block) LPort=445
    FirewallRules: [{343900D3-FF20-466B-A98E-BD6834DF06AD}] => (Allow) LPort=475
    FirewallRules: [{C5BCCE39-EEA4-45BA-B515-3E2B8A64C6A0}] => (Allow) LPort=475
    FirewallRules: [{93C0DB51-CA40-4FA8-8BB6-196FDFF126DD}] => (Allow) LPort=1688
    FirewallRules: [{5C743F78-53AC-4A8D-ADAD-3776BDF98E99}] => (Allow) LPort=1688
    FirewallRules: [{EA16A2B1-1932-426C-87C7-2AD5957C8684}] => (Allow) LPort=1688
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли трёх учётных записей с правами администратора смените.

Ссылка на комментарий
Поделиться на другие сайты

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

 

Эти два файла

C:\Windows\bck.exe
C:\Windows\SysMain.sys

аккуратно упакуйте в архив с паролем. Залейте его на файлообменник (или облако) и ссылку на скачивание вместе с паролем дайте личным сообщением.

Ссылка на комментарий
Поделиться на другие сайты

Quote

 

зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

 

 

Да. файл во вложении Xinfecter.exe является шифровальщиком, дополнительно заражен Neshta, как это любят делать некоторые группы злоумышленников:

вместе с шифрованием файлов еще заражают исполняемые файлы в системе.

 

По данному типу RCRU64, к сожалению, нет возможности расшифровать файлы без приватного ключа.

Cохраните важные зашифрованные документы  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Виталий Чебыкин
      От Виталий Чебыкин
      Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows. 
       
      PS  Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
×
×
  • Создать...