Перейти к содержанию

Рекомендуемые сообщения

Знакомые поймали шифровальщика, даже данные не могут отправить. Помогите плиз разобраться.

website.zipinfo.txt

Файл с вымогательством, зашифрованный и вероятно расшифрованный файл прилагаю

Ссылка на сообщение
Поделиться на другие сайты

Возможно, это Phobos. судя по маркеру в зашифрованном файле:

00000000000000000000000000000000

и по шаблону имени зашифрованного файлв.

 

Добавьте, пожалуйста, логи FRST

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Администратор\AppData\Local\Fast.exe
HKLM\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
HKU\S-1-5-21-1519023610-1776952732-488095809-500\...\Run: [Fast] => C:\Users\Администратор\AppData\Local\Fast.exe [60928 2024-04-16] () [Файл не подписан]
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
IFEO\narrator.exe: [Debugger] C:\Windows\comm.bat
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-04-16] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Администратор\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\Users\Public\Desktop\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000005903 _____ C:\info.hta
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Администратор\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\Users\Public\Desktop\info.txt
2024-05-20 06:28 - 2024-05-20 14:50 - 000002279 _____ C:\info.txt
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ C:\Users\Администратор\AppData\Local\Fast.exe
2024-05-20 06:26 - 2024-04-16 12:39 - 000060928 _____ () C:\Users\Администратор\AppData\Local\Fast.exe
AlternateDataStreams: C:\Users\Администратор\AppData:SYSD [148]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
End::


 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты

Да, процесс Fast.exe был активный.

Сделайте новые логи FRST для контроля, что там осталось от шифровальщика.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Судя по новым логам FRST в системе сейчас нет активных файлов шифровальщика.

Что-то было удалено скриптом, что-то возможно он сам себя пошифровал.

 

С расшифровкой по Phobos, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Justbox
      От Justbox
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]
       
      примеры зашифрованных файлов.rar с файлом info.txt
       
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
       
      примеры зашифрованных файлов.rar
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Anton S
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • PvC
      От PvC
      Здравствуйте. Требуется помощь по расшифровке.
      Тип шифровальщика - id[EA15627C-3531].[Accord77777@aol.com].faust
      Addition.txt FRST.txt Образцы.zip
    • Ak.512
      От Ak.512
      Здравствуйте!

      Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
      Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

       
×
×
  • Создать...