Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

май 2024 шифровальщик WORM

Alexey-2024
 Поделиться

Рекомендуемые сообщения

Alexey-2024 Новичок

Alexey-2024

Опубликовано
Опубликовано (изменено)

Добрый день !

Прошу помощи в дешифровке файлов

исполняемые модули не интересуют, важны текстовые файлы и документы

секретов никаких на дисках нет, здесь только файлы рабочих проектов и рабочая документация

 

Прилагаю

два отчета программы Farbar Recovery Scan Tool

несколько файлов с зашифрованных папок в формате архива RAR с паролем virus

 

Заранее признателен за помощь, с уважением, Алексей М. 

2024-worm-sample.rarПолучение информации... FRST.txtПолучение информации... Addition.txtПолучение информации...

Изменено пользователем Sandor
убрал телефон
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Если нужна помощь в очистке системы, придётся переделать логи, т.к.:

  Цитата

Запущено с помощью phoenix (ВНИМАНИЕ: Пользователь не является Администратором)

Показать  

 

Вы напрасно публикуете свой номер телефона. С вашего согласия можем его удалить из сообщения.

Ссылка на комментарий
Поделиться на другие сайты
Alexey-2024 Новичок

Alexey-2024

Опубликовано
  • Автор
Опубликовано

Благодарю за быстрый ответ

Логи переделаю от имени администратора, телефон из переписки удалите, верно подметили 

 

Помощь в удалении вируса очень нужна

С уважением, Алексей

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [0 0000-00-00] () [Доступ не разрешён]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\phoenix\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
2024-05-25 00:32 - 2024-05-25 03:15 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-25 00:32 - 2024-05-25 00:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
FirewallRules: [{5A9ED7FC-E0AC-44CD-B26D-2CF06380574D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B281D680-B711-4212-9420-8C2A04991C36}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{7357B448-0CE8-468A-91D4-8308A5DA6CC6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E9C994A5-5BCD-467E-95A3-C8E8C3288FC0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C326A872-C196-4D77-8244-0EC804E87766}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C49B9200-E919-4277-9AF8-8A38B462D976}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на май 2024 шифровальщик WORM

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Атаки шифровальщиков в 2024 году | Блог Касперского
      Автор KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
    • Мирный Атом
      Сезон прогнозов — 2024. Обсуждение
      Автор Мирный Атом
      СЕЗОН ПРОГНОЗОВ
      2 0 2 4
      Данная тема создана для обсуждения грядущего конкурса по чемпионату мира «Формулы-1»  (F1). Описание конкурса и подробные его условия озвучены в теме конкурса. 

      Хотелось бы услышать ваши пожелания, прогнозы и видения на сезон 2024. 
       
    • Elly
      Викторина по Kaspersky Rescue Disk 2024. Правила
      Автор Elly
      Друзья, 17 декабря 2024 года опубликовано бесплатное решение для проверки компьютеров и лечения обнаруженных угроз без загрузки операционной системы - Kaspersky Rescue Disk 2024.
      Это решение позволяет эффективно выявлять и устранять вредоносные программы, работая с USB-носителя или DVD-диска. В её состав входит приложение Kaspersky Rescue Tool, а также дополнительные инструменты, такие как файловый менеджер, браузер и терминал.
      Предлагаем Вам подробнее ознакомиться с Kaspersky Rescue Disk 2024, ответив на вопросы нашей викторины.
      Удачи! 🎉
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1200 баллов Одна ошибка — 1000 баллов Две ошибки — 800 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 02.04.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom (пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • dkhilobok
      2024 и снова Камчатка
      Автор dkhilobok
      Снова Камчатка: Долина Гейзеров с обратной стороны.

      Этим летом на Камчатке нам очень много что повезло. В том числе пройти по следам турмарштура №264, которые нас привели в Долину гейзеров.
       
      Обычно туристов водят по Долине по другой стороне ручья, мы же пришли ногами со стороны кальдеры Узон. Соответственно получилось взглянуть на ряд картинок, доступных в основном медведям.
       
      От кордона «Глухой» до Долины примерно 10-12км. Первую половину пути топать по прямой с небольшим набором высоты. Даже немного скучно Меньше, чем полтора часа в пути - и мы на перевале.
       
      В 2007г здесь сошел оползень, который засыпал большое количество гейзеров, перегородил реку дамбой и образовалось озеро.
      Потом река постепенно размыла дамбу, озеро исчезло, а вода продолжает промываться к старому руслу.
       
      Прошло время, засыпанные гейзеры и пульсирующие источники местами пробили нанесённый грунт и получились вот такие симпатичные котлы с подземным кипятком.

      Видео посмотреть на других платформах:
      https://dzen.ru/shorts/673f3f8359f0ad5be841082e?share_to=link
      https://vk.com/clip302262930_456239251
       
      v2 Долина Гейзеров.mp4
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
×
×
  • Создать...