Перейти к содержанию

Шифровальщик-вымогатель Shuriken

116
 Поделиться

Рекомендуемые сообщения

116

116

Опубликовано
Опубликовано

FRST.txtREAD-ME-SHURKEWIN.zipAddition.txt

Сегодня утром поступил звонок от пользователя с сообщением при загрузке - "Encrypted by Shuriken..."

В корне диска С обнаружен файл Cpriv.Shuriken (в запароленном архиве shuriken) и записка о вымогательстве (READ-ME-SHURKEWIN.ZIP + 2 зашифрованных файла)

В процессе выяснилось что зараженных компьютера минимум 4 + на QNAP часть файлов зашифрована.

Прошу помочь решить проблему.

shuriken.7z shuriken.7z

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
2024-06-12 13:21 - 2024-06-12 13:44 - 000529664 ___SH C:\ProgramData\[decryption@cock.lu][FEB2191F]winlogon.exe.Shuriken
2024-06-12 13:21 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

116

116

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  


Start::
2024-06-12 13:21 - 2024-06-12 13:44 - 000529664 ___SH C:\ProgramData\[decryption@cock.lu][FEB2191F]winlogon.exe.Shuriken
2024-06-12 13:21 - 2024-03-15 21:17 - 000529408 ___SH (Microsoft) C:\Windows\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

116

116

Опубликовано
  • Автор
Опубликовано
6 часов назад, safety сказал:

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

E116_2024-06-14_08-53-41_v4.15.5v.7z

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • davidas199
      help me
      Автор davidas199
      possible?

    • enke
      Шифровальщик Loki
      Автор enke
      Уважаемые коллеги, добрый день!
      Взломали терминальный сервер (ориентировочно 12-13 декабря), снесли штатный антивирус (DrWeb) и запустили вирус шифровальщик.
      После этого уже 15 декабря сервер был недоступен, приходится грузится сторонними утилитами (LiveCD). Коллеги из DrWeb помочь не смогли...
      Прикладываю архив с 2-мя зашифрованными файлами, текстом о выкупе и лог работы программы Farbar Recovery Scan Tool.
      Буду крайне признателен за любую обнадеживающую информацию. Была зашифрована крайне важная база 1С (бэкапа увы нет...)
       
      С уважением, Дмитрий.
      222.zip
    • Andrey698
      Шифровальщик widows server Loki locker
      Автор Andrey698
      Добрый день, вчера во второй половине дня подключился через RDP к серверу и увидел голубой экран с сообщением что данные зашифрованы. Сервер перегрузил в безопасный режим, создал отчеты с помощью FRST.  Файлы прикрепляю, прошу содействия. 
      Addition.txt FRST.txt Restore-My-Files.txt
    • Forza Александр
      Шифровальщик BlackBit
      Автор Forza Александр
      Добрый день, сегодня зашифровали комп, 2 диска по 500 ГБ. в Архиве FRST 



      Blackbit.zip
    • SimTor
      ПК зашифрован Loki Locker через rdp.
      Автор SimTor
      Addition.txtRestore-My-Files.txtfile.zipFRST.txt
      Добрый день!
      Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
      Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
      Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

      Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.
×
×
  • Создать...