Перейти к содержанию

Вирус зашифровал и добавил в конце каждого файла7dyedhqu59c

СергейБ.
 Share Подписчики 1

Рекомендуемые сообщения

СергейБ.

СергейБ. 0

Опубликовано
Опубликовано

Здравствуйте.

Компьютер ночью был включен.

Утром обнаружилось предупреждение о заражение и шифровании файлов. 

В конце каждого файла добавилось 7dyedhqu59c

Можете ли чем-нибудь помочь?

Спасибо.

FRST.txt Addition.txt files.zip

Ссылка на сообщение
Поделиться на другие сайты
СергейБ.

СергейБ. 0

Опубликовано
  • Автор
Опубликовано

вроде нашел папку с вирусом

 

пароль: virus

 

там был еще файл Everything.db, но он 45 Мб, не прикреплял

virus.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

Судя по идентификатору из записки о выкупе - Mimic

Ваш идентификатор (ID)
*****o*7dyedhqu59c

2 hours ago, СергейБ. said:

вроде нашел папку с вирусом

https://www.virustotal.com/gui/file/6139aa57b4c8b8d6039d9293e9eb99a37a9183183d6461a256a77862ba30cdff

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐メ￐ᄚ￑ネ￐ᄌ ￐ᄡ￐ᄒ￐ᄎ￑テ￐ᄐ￐ᄉ￐ᄑ￑ツ￑ヒ, ￐ᄆ￐ᄚ￐ᄋ￑ヒ ￐ᄡ￐ᄚ￐ᄑ￐ᄑ￑ヒ￑ナ ￐ᄌ ￐ᄡ￑タ￑テ￐ᄈ￐ᄌ￐ᄉ ￑ト￐ᄚ￐ᄍ￐ᄏ￑ヒ ￐ᄆ￑ヒ￐ᄏ￐ᄌ ￐ᄋ￐ᄚ￑ネ￐ᄌ￑ト￑タ￐ᄒ￐ᄇ￐ᄚ￐ᄑ￑ヒ. ￐ン￐ᄒ ￐ᄑ￐ᄉ ￑チ￑ツ￐ᄒ￐ᄌ￑ツ
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
2024-05-24 08:08 - 2024-05-24 08:08 - 000002513 _____ C:\Users\Stu_SG\AppData\Local\Instruction.txt
2024-05-24 08:12 - 2021-02-24 04:05 - 000000000 __SHD C:\Users\Ser_OA\AppData\Local\{288D3514-4B27-0929-C18F-74352F8D2629}
2024-05-24 08:08 - 2022-03-06 11:37 - 000000000 ____D C:\Users\Stu_SG\AppData\Local\{288D3514-4B27-0929-C18F-74352F8D2629}
Ebd::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты
СергейБ.

СергейБ. 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте.
Подскажите пожалуйста. Есть ли возможность дешифровки файлов?

На данном ПК переустановил систему с нуля поверх старой. Так можно делать или лучше диск стирать полностью?

Есть еще один ПК, но если я правильно понял, для него новый запрос надо сделать?

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 107

Опубликовано
Опубликовано
2 hours ago, СергейБ. said:

Подскажите пожалуйста. Есть ли возможность дешифровки файлов?

Расшифровки по данному типу шифровальщика нет в настоящее время без приватного ключа.

 

Лучшее, что вы можете сделать: восстановить файлы из бэкапов, если они были созданы и актуальны,

очистить системы или переустановить заново.

+

примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
СергейБ.

СергейБ. 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте. На всякий случай спрошу. Файловую базу данных 1С есть вариант попробовать восстановить, сколько стоить будет? 

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • nikitapatek
      Шифровальщик elpaco-team
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Sgen
      Шифровальщик *.ask-*
      От Sgen
      Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
      Хак.rar
    • gentry
      шифровальщик-вымогатель elpaco-team
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
×
×
  • Создать...