Перейти к содержанию

Шифровальщик finamtox@zohomail.eu


Рекомендуемые сообщения

Знакомые поймали шифровальщика, даже данные не могут отправить. Помогите плиз разобраться.

website.zipinfo.txt

Файл с вымогательством, зашифрованный и вероятно расшифрованный файл прилагаю

Ссылка на комментарий
Поделиться на другие сайты

Возможно, это Phobos. судя по маркеру в зашифрованном файле:

00000000000000000000000000000000

и по шаблону имени зашифрованного файлв.

 

Добавьте, пожалуйста, логи FRST

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Администратор\AppData\Local\Fast.exe
HKLM\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
HKU\S-1-5-21-1519023610-1776952732-488095809-500\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
IFEO\narrator.exe: [Debugger] C:\Windows\comm.bat
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Администратор\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Public\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Администратор\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Public\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\info.txt
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ C:\Users\Администратор\AppData\Local\Fast.exe
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ () C:\Users\Администратор\AppData\Local\Fast.exe
AlternateDataStreams: C:\Users\Администратор\AppData:SYSD [148]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
End::


 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на комментарий
Поделиться на другие сайты

Да, процесс Fast.exe был активный.

Сделайте новые логи FRST для контроля, что там осталось от шифровальщика.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Судя по новым логам FRST в системе сейчас нет активных файлов шифровальщика.

Что-то было удалено скриптом, что-то возможно он сам себя пошифровал.

 

С расшифровкой по Phobos, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...