Перейти к содержанию

май 2024 шифровальщик WORM

Alexey-2024
 Поделиться

Рекомендуемые сообщения

Alexey-2024

Alexey-2024

Опубликовано
Опубликовано (изменено)

Добрый день !

Прошу помощи в дешифровке файлов

исполняемые модули не интересуют, важны текстовые файлы и документы

секретов никаких на дисках нет, здесь только файлы рабочих проектов и рабочая документация

 

Прилагаю

два отчета программы Farbar Recovery Scan Tool

несколько файлов с зашифрованных папок в формате архива RAR с паролем virus

 

Заранее признателен за помощь, с уважением, Алексей М. 

2024-worm-sample.rar FRST.txt Addition.txt

Изменено пользователем Sandor
убрал телефон
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Если нужна помощь в очистке системы, придётся переделать логи, т.к.:

Цитата

Запущено с помощью phoenix (ВНИМАНИЕ: Пользователь не является Администратором)

 

Вы напрасно публикуете свой номер телефона. С вашего согласия можем его удалить из сообщения.

Alexey-2024

Alexey-2024

Опубликовано
  • Автор
Опубликовано

Благодарю за быстрый ответ

Логи переделаю от имени администратора, телефон из переписки удалите, верно подметили 

 

Помощь в удалении вируса очень нужна

С уважением, Алексей

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [0 0000-00-00] () [Доступ не разрешён]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\phoenix\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
2024-05-25 00:32 - 2024-05-25 03:15 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-25 00:32 - 2024-05-25 00:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
FirewallRules: [{5A9ED7FC-E0AC-44CD-B26D-2CF06380574D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B281D680-B711-4212-9420-8C2A04991C36}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{7357B448-0CE8-468A-91D4-8308A5DA6CC6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E9C994A5-5BCD-467E-95A3-C8E8C3288FC0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C326A872-C196-4D77-8244-0EC804E87766}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C49B9200-E919-4277-9AF8-8A38B462D976}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Alexey-2024

Alexey-2024

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарю за ценный скрипт

Изменено пользователем Alexey-2024
  • safety изменил название на май 2024 шифровальщик WORM

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
    • Гальваник
      на 12 машинах произошло шифрование
      Автор Гальваник
      22.01.26 утром на предприятии было обнаружено, что на 12 машинах произошло шифровании системы. Было отключено сетевое оборудование и распространение остановилось. Файлы после сканирования зараженной машины, прилагаю(пароль virus)
       
      Addition.txt DECRYPT_FILES.txt FRST.txt
      вирус.7z
    • Ton
      Зашифровали файлы
      Автор Ton
      Вот такие файлы имеются 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Bonkers
      Последствия шифровальщика
      Автор Bonkers
      Всем доброго дня, вот и меня настиг шифровальщик(
      Прошу помочь в решении вопроса:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by NNI
      Your decryption ID is ***_-jpKocsmvBagMrrfEvFq9HLhsocFNQU4*nni-***_-jpKocsmvBagMrrfEvFq9HLhsocFNQU4
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - decryptyou@mailum.com
      2) Backup Telegram - @cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
       
      Зараженный файлы.zip
×
×
  • Создать...