Перейти к содержанию

Рекомендуемые сообщения

Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Нужно расшифровать базы MSSQL, а то мне уже нехорошо.

FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip

Изменено пользователем SergD
Ссылка на комментарий
Поделиться на другие сайты

Во время работы FRST64.exe вываливается окошко со следующим текстом:

 

Line 9294 (File F:\Distribs\FRST64.exe"):

Error: Variable used without being declared.

 

При запуске FRST.exe появляется сообщение о несовместимости с операционной системой.

 

Нашел более раннюю версию FRST, отработала без ошибок. Файлы пилагаю.

FRST.zip

Изменено пользователем SergD
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Заражение файловым вирусом Neshta часто сопутствует шифрованию. Его очистку следует производить с внешнего носителя с помощью KRD.

 

Сделаем некоторую очистку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
    2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Downloads\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Restore_Your_Files.txt
    2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\Program Files (x86)\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Restore_Your_Files.txt
    2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Common Files\Restore_Your_Files.txt
    File: C:\Windows\bck.exe
    File: C:\Windows\SysMain.sys
    FirewallRules: [{CD5A2917-0C0E-4C15-B186-C04F92C9AB2A}] => (Block) LPort=445
    FirewallRules: [{91119C87-CCDB-4CA9-8177-6F09E64E37A9}] => (Allow) LPort=65532
    FirewallRules: [{0D54E922-0864-4D5D-9871-C08AEF366717}] => (Allow) LPort=65531
    FirewallRules: [{9DC8EBEA-19F0-43ED-95CD-5098AFC6BAFA}] => (Allow) LPort=65533
    FirewallRules: [{87B9A4FD-1934-4710-AF4A-955B3E59519A}] => (Block) LPort=445
    FirewallRules: [{AA179FC3-8DB7-49DF-AF40-FA395DBF7804}] => (Block) LPort=445
    FirewallRules: [{149B33D6-FA0D-4D89-A165-07699FF2A474}] => (Block) LPort=445
    FirewallRules: [{90147A48-7562-4681-A533-B3DBADDE2349}] => (Block) LPort=445
    FirewallRules: [{343900D3-FF20-466B-A98E-BD6834DF06AD}] => (Allow) LPort=475
    FirewallRules: [{C5BCCE39-EEA4-45BA-B515-3E2B8A64C6A0}] => (Allow) LPort=475
    FirewallRules: [{93C0DB51-CA40-4FA8-8BB6-196FDFF126DD}] => (Allow) LPort=1688
    FirewallRules: [{5C743F78-53AC-4A8D-ADAD-3776BDF98E99}] => (Allow) LPort=1688
    FirewallRules: [{EA16A2B1-1932-426C-87C7-2AD5957C8684}] => (Allow) LPort=1688
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли трёх учётных записей с правами администратора смените.

Ссылка на комментарий
Поделиться на другие сайты

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

 

Эти два файла

C:\Windows\bck.exe
C:\Windows\SysMain.sys

аккуратно упакуйте в архив с паролем. Залейте его на файлообменник (или облако) и ссылку на скачивание вместе с паролем дайте личным сообщением.

Ссылка на комментарий
Поделиться на другие сайты

Quote

 

зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

 

 

Да. файл во вложении Xinfecter.exe является шифровальщиком, дополнительно заражен Neshta, как это любят делать некоторые группы злоумышленников:

вместе с шифрованием файлов еще заражают исполняемые файлы в системе.

 

По данному типу RCRU64, к сожалению, нет возможности расшифровать файлы без приватного ключа.

Cохраните важные зашифрованные документы  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • CBUAleksandrK
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
×
×
  • Создать...