phobos Шифровальщик finamtox@zohomail.eu

[MIPHISTO]

Знакомые поймали шифровальщика, даже данные не могут отправить. Помогите плиз разобраться.

website.zipПолучение информации... info.txtПолучение информации...

Файл с вымогательством, зашифрованный и вероятно расшифрованный файл прилагаю

[safety]

Возможно, это Phobos. судя по маркеру в зашифрованном файле:

00000000000000000000000000000000

и по шаблону имени зашифрованного файлв.

 

Добавьте, пожалуйста, логи FRST

[MIPHISTO]

Addition.txtПолучение информации... FRST.txtПолучение информации...

Вот логи FRST

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Администратор\AppData\Local\Fast.exe
HKLM\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
HKU\S-1-5-21-1519023610-1776952732-488095809-500\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
IFEO\narrator.exe: [Debugger] C:\Windows\comm.bat
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Администратор\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Public\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Администратор\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Public\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\info.txt
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ C:\Users\Администратор\AppData\Local\Fast.exe
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ () C:\Users\Администратор\AppData\Local\Fast.exe
AlternateDataStreams: C:\Users\Администратор\AppData:SYSD [148]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

[MIPHISTO]

Сделал всё по инструкции, но сервер перезагрузился, после загрузки FRST зашифровался. Чрез пару минут добавлю карантин

 

Quarantine.7zПолучение информации... Fixlog.txtПолучение информации...

[safety]

Да, процесс Fast.exe был активный.

Сделайте новые логи FRST для контроля, что там осталось от шифровальщика.

Изменено 21 мая, 2024 пользователем safety

[MIPHISTO]

FRST.txtПолучение информации... Addition.txtПолучение информации...

Изменено 21 мая, 2024 пользователем MIPHISTO

[safety]

Судя по новым логам FRST в системе сейчас нет активных файлов шифровальщика.

Что-то было удалено скриптом, что-то возможно он сам себя пошифровал.

 

С расшифровкой по Phobos, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС.