rcru64 Требуется расшифровка.

[SergD]

Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Нужно расшифровать базы MSSQL, а то мне уже нехорошо.

FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip

Изменено 14 мая, 2024 пользователем SergD

[Sandor]

Здравствуйте!

 

Файл Addition.txt получился неполный. Переделайте, пожалуйста.

[SergD]

Во время работы FRST64.exe вываливается окошко со следующим текстом:

 

Line 9294 (File F:\Distribs\FRST64.exe"):

Error: Variable used without being declared.

 

При запуске FRST.exe появляется сообщение о несовместимости с операционной системой.

 

Нашел более раннюю версию FRST, отработала без ошибок. Файлы пилагаю.

FRST.zip

Изменено 14 мая, 2024 пользователем SergD

[Sandor]

Заражение файловым вирусом Neshta часто сопутствует шифрованию. Его очистку следует производить с внешнего носителя с помощью KRD.

 

Сделаем некоторую очистку.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
  2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Downloads\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Restore_Your_Files.txt
  2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\Program Files (x86)\Restore_Your_Files.txt
  2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Restore_Your_Files.txt
  2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Restore_Your_Files.txt
  2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Common Files\Restore_Your_Files.txt
  File: C:\Windows\bck.exe
  File: C:\Windows\SysMain.sys
  FirewallRules: [{CD5A2917-0C0E-4C15-B186-C04F92C9AB2A}] => (Block) LPort=445
  FirewallRules: [{91119C87-CCDB-4CA9-8177-6F09E64E37A9}] => (Allow) LPort=65532
  FirewallRules: [{0D54E922-0864-4D5D-9871-C08AEF366717}] => (Allow) LPort=65531
  FirewallRules: [{9DC8EBEA-19F0-43ED-95CD-5098AFC6BAFA}] => (Allow) LPort=65533
  FirewallRules: [{87B9A4FD-1934-4710-AF4A-955B3E59519A}] => (Block) LPort=445
  FirewallRules: [{AA179FC3-8DB7-49DF-AF40-FA395DBF7804}] => (Block) LPort=445
  FirewallRules: [{149B33D6-FA0D-4D89-A165-07699FF2A474}] => (Block) LPort=445
  FirewallRules: [{90147A48-7562-4681-A533-B3DBADDE2349}] => (Block) LPort=445
  FirewallRules: [{343900D3-FF20-466B-A98E-BD6834DF06AD}] => (Allow) LPort=475
  FirewallRules: [{C5BCCE39-EEA4-45BA-B515-3E2B8A64C6A0}] => (Allow) LPort=475
  FirewallRules: [{93C0DB51-CA40-4FA8-8BB6-196FDFF126DD}] => (Allow) LPort=1688
  FirewallRules: [{5C743F78-53AC-4A8D-ADAD-3776BDF98E99}] => (Allow) LPort=1688
  FirewallRules: [{EA16A2B1-1932-426C-87C7-2AD5957C8684}] => (Allow) LPort=1688
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли трёх учётных записей с правами администратора смените.

[SergD]

Сделал. И пароли сменил.

Fixlog.txt

[Sandor]

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

 

Эти два файла

C:\Windows\bck.exe
C:\Windows\SysMain.sys

аккуратно упакуйте в архив с паролем. Залейте его на файлообменник (или облако) и ссылку на скачивание вместе с паролем дайте личным сообщением.

[safety]

Quote

 

зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

 

 

Да. файл во вложении Xinfecter.exe является шифровальщиком, дополнительно заражен Neshta, как это любят делать некоторые группы злоумышленников:

вместе с шифрованием файлов еще заражают исполняемые файлы в системе.

 

По данному типу RCRU64, к сожалению, нет возможности расшифровать файлы без приватного ключа.

Cохраните важные зашифрованные документы  на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 15 мая, 2024 пользователем safety