Перейти к содержанию

Шифровальщик finamtox@zohomail.eu


Рекомендуемые сообщения

Знакомые поймали шифровальщика, даже данные не могут отправить. Помогите плиз разобраться.

website.zipinfo.txt

Файл с вымогательством, зашифрованный и вероятно расшифрованный файл прилагаю

Ссылка на комментарий
Поделиться на другие сайты

Возможно, это Phobos. судя по маркеру в зашифрованном файле:

00000000000000000000000000000000

и по шаблону имени зашифрованного файлв.

 

Добавьте, пожалуйста, логи FRST

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Администратор\AppData\Local\Fast.exe
HKLM\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
HKU\S-1-5-21-1519023610-1776952732-488095809-500\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
IFEO\narrator.exe: [Debugger] C:\Windows\comm.bat
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Администратор\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Public\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Администратор\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Public\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\info.txt
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ C:\Users\Администратор\AppData\Local\Fast.exe
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ () C:\Users\Администратор\AppData\Local\Fast.exe
AlternateDataStreams: C:\Users\Администратор\AppData:SYSD [148]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
End::


 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на комментарий
Поделиться на другие сайты

Сделал всё по инструкции, но сервер перезагрузился, после загрузки FRST зашифровался. Чрез пару минут добавлю карантин

 

Quarantine.7zFixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Да, процесс Fast.exe был активный.

Сделайте новые логи FRST для контроля, что там осталось от шифровальщика.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Судя по новым логам FRST в системе сейчас нет активных файлов шифровальщика.

Что-то было удалено скриптом, что-то возможно он сам себя пошифровал.

 

С расшифровкой по Phobos, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOHb39
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
    • frozzen
      Автор frozzen
      Сеть подверглась атаке шифровальщика ZEPPELIN. 
      Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ).
      Есть ли какие-нибудь инструменты для восстановления.. и надежда?
      В архиве файл с требованиями и пара зашифрованных файлов.
      files2.zip
×
×
  • Создать...