Перейти к содержанию

Рекомендуемые сообщения

Проблемная машина уже не в сети, и ее спасать не нужно.

Задело немного файлы шары(на линуксе), есть ли спасение на данный момент от этой напасти?

 

crypt.rar

Изменено пользователем gts
Ссылка на сообщение
Поделиться на другие сайты

Можете с проблемной машины собрать логи FRST?

 

Файлы зашифрованы данным типом шифровальщика.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Скрипт очистки, если нужен будет:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKU\S-1-5-21-431092344-141429927-2193175131-1004\...\Run: [MediaGet2] => C:\Users\buh\MediaGet2\mediaget.exe --minimized (Нет файла)
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VyChat - Ярлык.lnk [2022-02-25]
ShortcutTarget: VyChat - Ярлык.lnk -> C:\Program Files (x86)\Vypress Chat\VyChat.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-431092344-141429927-2193175131-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKU\S-1-5-21-431092344-141429927-2193175131-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [llcdellnofncikmhimjdbkdjgpmcjbik]
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
End::

После выполнения скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой, по данному типу шифровальщика, не сможем помочь без приватного ключа.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • indeedx
      От indeedx
      вирус senator, там есть текстовой файл с ID - Your Decryption ID: 8E9A415AB6660F85
      FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • artyllerist86
      От artyllerist86
      Сегодня ночью произошло заражение компьютера. В следствии чего не понятно. Похоже сам компьютер был взломан. Большая часть файлов зашифрована с расширением .abram
      логи farbar.zip зашифрованные файлы и записка.zip
    • AndreyMagiRus
      От AndreyMagiRus
      Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 
      Addition.txt Образцы BLackShadow.7z FRST.txt
    • Netyfrey
      От Netyfrey
      Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"
      fails.rar FRST.txt unlock-info.rar
    • Дмитрий Ч
      От Дмитрий Ч
      Добрый день.
      в пятницу 10.02.23 появился шифровальщик, судя по первым зашифрованным файлам начал работать в районе 18.00, последние зашифрованные файлы датируются 12.02.2023 05.30.
      Расшифровать не удается (копировал файлы на локальный компьютер и пробовал отдельно их расшифровывать с помощью утилит с форума, на диске файлы не пытался расшифровывать.)
      все файлы имеют добавочное расширение Mikel.
      Сам шифровальщик получить не удалось, обнаружили, когда он уже закончил все шифровать.
      Также в корневых каталогах лежит файл с требованием с названием Mikel_Help.txt
      во вложении архивы с двумя зашифрованными файлами, файл с требованием и логи анализа системы при помощи Farbar Recovery Scan Tool.
       
      Требуется помощь с расшифровкой.
      Заранее спасибо.

       
      Addition.rar FRST.rar Mikel_Help.rar ReadMe.txt.rar Новый текстовый документ.rar
×
×
  • Создать...