Перейти к содержанию

Рекомендуемые сообщения

Это скорее всего тело шифровальщика.

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B7C4DD3AEEACB9343B55BEF5904C3D5C.exe

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] ~~~ ZENEX ~~~
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B7C4DD3AEEACB9343B55BEF5904C3D5C.exe [2024-03-17] () [Файл не подписан]
2024-06-16 13:52 - 2023-08-15 17:21 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Documents\Advanced_IP_Scanner_2.5.4594.1.exe
End::

После выполнения скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
6 hours ago, NikMan said:

Переслал ссылку

B7C4DD3AEEACB9343B55BEF5904C3D5C.exe   --- детект на Virustotal.com

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По PROTON, к сожалению, как и по большинству других актуальных шифровальщиков, нет решения по расшифровке без приватного ключа. Восстановление возможно только из бэкапов.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Vital888
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • kda7889
      От kda7889
      Привет.
      16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.

      Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.

      Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].
      На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.

      Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.
      Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.
       
      Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.
      Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.
      Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX
      Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.
       
      Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.
      Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.
      Купил Касперский Office Security, поставил. Ничего не обнаружено.
      Жду Вашей помощи.
       
      p.s.
      был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.
       
      OPIX_client_data.zip
    • chasey
      От chasey
      теневые копии спасли 2 диска, но я не помню вылили они включены на третьем, или их подчистили. шифранули в основном фоточки и видео
      судя по логам пытались запускать
       
      C:\Users\lwsa\Desktop\x64-Release\start.bat
      C:\Users\lwsa\Desktop\x64-Release\NS.exe
      пытался восстановить эти файлы с диска, неудачно

       
      #SHINRA-Recovery.txt
      FRST.txt
      Архив 2.zip
    • MaxBarsk
      От MaxBarsk
      Доброго дня.
      Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.
      Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar
×
×
  • Создать...