Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

Вирус шифровальшик

Max78
 Share

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [27] rkill.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2024-06-06 02:20 - 2024-06-06 07:14 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-06 07:18 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\Maxim\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-01-10 22:03 - 2024-01-10 22:03 - 000000440 _____ () C:\ProgramData\temp_Delete.bat
2024-01-10 22:03 - 2024-01-10 22:03 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ () C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2022-10-25 12:59 C:\AdwCleaner
2022-10-25 12:59 C:\KVRT2020_Data
2022-10-25 12:59 C:\KVRT_Data
2022-10-25 12:59 C:\Program Files\AVAST Software
2022-10-25 12:59 C:\Program Files\AVG
2022-10-25 12:59 C:\Program Files\Bitdefender Agent
2022-10-25 12:59 C:\Program Files\ByteFence
2022-10-25 12:59 C:\Program Files\Cezurity
2022-10-25 12:59 C:\Program Files\COMODO
2022-10-25 12:59 C:\Program Files\DrWeb
2022-10-25 12:59 C:\Program Files\Enigma Software Group
2022-10-25 12:59 C:\Program Files\ESET
2022-10-25 12:59 C:\Program Files\Kaspersky Lab
2022-10-25 12:59 C:\Program Files\Loaris Trojan Remover
2022-10-25 12:59 C:\Program Files\Malwarebytes
2022-10-25 12:59 C:\Program Files\Process Lasso
2022-10-25 12:59 C:\Program Files\Rainmeter
2022-10-25 12:59 C:\Program Files\Ravantivirus
2022-10-25 12:59 C:\Program Files\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\360
2022-10-25 12:59 C:\Program Files (x86)\AVAST Software
2022-10-25 12:59 C:\Program Files (x86)\AVG
2022-10-25 12:59 C:\Program Files (x86)\Cezurity
2022-10-25 12:59 C:\Program Files (x86)\GRIZZLY Antivirus
2024-06-09 20:32 C:\Program Files (x86)\Kaspersky Lab
2022-10-25 12:59 C:\Program Files (x86)\Panda Security
2022-10-25 12:59 C:\Program Files (x86)\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\Transmission
2022-10-25 12:59 C:\WINDOWS\speechstracing
2023-06-08 19:57 C:\Program Files\Common Files\AV
2022-10-25 12:59 C:\Program Files\Common Files\Doctor Web
2022-10-25 12:59 C:\Program Files\Common Files\McAfee
2022-10-25 12:59 C:\ProgramData\360safe
2022-10-25 12:59 C:\ProgramData\AVAST Software
2022-10-25 12:59 C:\ProgramData\Avira
2022-10-25 12:59 C:\ProgramData\BookManager
2022-10-25 12:59 C:\ProgramData\Doctor Web
2022-10-25 12:59 C:\ProgramData\ESET
2022-10-25 12:59 C:\ProgramData\Evernote
2022-10-25 12:59 C:\ProgramData\FingerPrint
2022-10-25 12:59 C:\ProgramData\grizzly
2018-10-14 20:50 C:\ProgramData\Kaspersky Lab Setup Files
2022-10-25 12:59 C:\ProgramData\Malwarebytes
2022-10-25 12:59 C:\ProgramData\MB3Install
2019-08-25 12:18 C:\ProgramData\McAfee
2022-10-25 12:59 C:\ProgramData\Norton
2022-10-25 12:59 C:\ProgramData\PuzzleMedia
2022-10-25 12:59 C:\ProgramData\RobotDemo
2022-10-25 12:59 C:\ProgramData\WavePad
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
13 minutes ago, Ezh85 said:

Могу я приложить свои файлы сюда для исследования, чтобы не плодить темы?

Как вы уже могли заметить, сваливание своих логов и файлов в чужой теме здесь не приветствуется.

Так что лучше плодите ваши темы и размножайте в них ваши логи и файлы.

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • Obivan
      [РЕШЕНО] Вирус или скрипт.
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
    • TloBeJluTeJlb
      Вирус John
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...