phobos x-decrypt@worker.com зашифровано

[phant]

Добрый день!

Сегодня ночью был зашифрован компьютер и все сетевые папки. 

Файлы логов прилагаю.

x-decrypt@worker.com.rar FRST.rar Addition.rar

[safety]

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKU\S-1-5-21-1327847497-2436994350-1016462381-1001\...\Run: [Backps] => C:\Users\admin\AppData\Local\Backps.exe (Нет файла)
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Backps.exe [2024-03-19] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Backps.exe [2024-03-19] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

+

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[phant]

После FRST - исправить, перестал загружаться компьютер.

"no bootable device"

[safety]

Вообще, FRST не должен был перегрузить систему.

Но если система не перегружается, значит Phobos зашифровал какие то важные системные файлы, без которых система уже нерабочая.

Можно попробовать несколько раз перегрузить.

[safety]

@phant,

Ваши файлы могут быть расшифрованы.

Цитата

08:09:02 Scan path: G:\DATA\shifr\encode_files\phobos\xdec
08:09:02 Decrypt files...
08:09:02 Encrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\27.07.2024\Вывод_из_оборота_0000000002_2024_07_16.xml.id[32477C68-3449].[x-decrypt@worker.com].xDec
08:09:02 Encrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\28.05.2024\(2)README.txt.id[FECC6243-3449].[x-decrypt@worker.com].xDec
08:09:02 Encrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\27.07.2024\Описания перегрузки из Бухгалтерии предприятия в Альфу.doc.id[32477C68-3449].[x-decrypt@worker.com].xDec
08:09:02 Decrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\28.05.2024\(2)README.txt
08:09:02 Decrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\27.07.2024\Вывод_из_оборота_0000000002_2024_07_16.xml
08:09:02 Decrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\27.07.2024\Описания перегрузки из Бухгалтерии предприятия в Альфу.doc
08:09:02 Encrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\28.05.2024\Инструкция по проведению генеральной уборки.docx.id[FECC6243-3449].[x-decrypt@worker.com].xDec
08:09:02 Decrypted: G:\DATA\shifr\encode_files\phobos\xdec\x-decrypt@worker.com\28.05.2024\Инструкция по проведению генеральной уборки.docx
08:09:02 ========================
08:09:02 Files:                23
08:09:02 Encrypted:             4
08:09:02 Decrypted:             4
08:09:02 Deleted:               0
08:09:02 Warnings:              0
08:09:02 Errors:                0
08:09:02 ========================
08:09:02 Elapsed: 514.0294ms

 

Изменено 21 июля пользователем safety