Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день !

Прошу помощи в дешифровке файлов

исполняемые модули не интересуют, важны текстовые файлы и документы

секретов никаких на дисках нет, здесь только файлы рабочих проектов и рабочая документация

 

Прилагаю

два отчета программы Farbar Recovery Scan Tool

несколько файлов с зашифрованных папок в формате архива RAR с паролем virus

 

Заранее признателен за помощь, с уважением, Алексей М. 

2024-worm-sample.rar FRST.txt Addition.txt

Изменено пользователем Sandor
убрал телефон
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Если нужна помощь в очистке системы, придётся переделать логи, т.к.:

Цитата

Запущено с помощью phoenix (ВНИМАНИЕ: Пользователь не является Администратором)

 

Вы напрасно публикуете свой номер телефона. С вашего согласия можем его удалить из сообщения.

Опубликовано

Благодарю за быстрый ответ

Логи переделаю от имени администратора, телефон из переписки удалите, верно подметили 

 

Помощь в удалении вируса очень нужна

С уважением, Алексей

Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [0 0000-00-00] () [Доступ не разрешён]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\phoenix\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
2024-05-25 00:32 - 2024-05-25 03:15 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-25 00:32 - 2024-05-25 00:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
FirewallRules: [{5A9ED7FC-E0AC-44CD-B26D-2CF06380574D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B281D680-B711-4212-9420-8C2A04991C36}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{7357B448-0CE8-468A-91D4-8308A5DA6CC6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E9C994A5-5BCD-467E-95A3-C8E8C3288FC0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C326A872-C196-4D77-8244-0EC804E87766}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C49B9200-E919-4277-9AF8-8A38B462D976}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Опубликовано (изменено)

Благодарю за ценный скрипт

Изменено пользователем Alexey-2024
  • safety изменил название на май 2024 шифровальщик WORM

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Lily238
      Автор Lily238
      Здравствуйте. Ночью зашифровали данные на сервере, все файлы, в т.ч. 1С, расширение *WORM
      Записку от вымогателей прилагаю. Сервер был сразу отключен от сети.  Подскажите есть ли смысл проводить проверку антивирусником? И есть ли возможность расшифровать данные?
       
       

    • Костантин
      Автор Костантин
      Словил шифратор, который шифрует 99% файлов в файлы с расширением WORM. Кто может помочь, есть ли дешифратор
      DECRYPTION_INFO.txt
    • Fobos888
      Автор Fobos888
      День добрый. Поймали вирус шифровщик (*WORM) на сервере. заблокировались все данные, в том числе 1с. бэкапы хранились на том же компьютере, но на другом диске. по сети частично заразились еще 2 компьютера. прошу помочь в расшифровке. файл с требованием с сервера, только там он сформировался. а зашифрованные данные со второго зараженного компьютера. логи тоже с зараженного пк
      FRST.txt Virus.rar
    • AntonK2402
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • KL FC Bot
      Автор KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
×
×
  • Создать...