Перейти к содержанию

шифровальщик-вымогатель

Бека-Алматы

Автор Бека-Алматы
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Бека-Алматы

Бека-Алматы

Опубликовано
Опубликовано

Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем

файл приложил 

ЛОГИ и файлы.zip

thyrex

thyrex

Опубликовано
Опубликовано

Перечитайте правила и пришлите необхолимые логи, а не то, что Вам вздумалось.

safety

safety

Опубликовано
Опубликовано

Если систему сканировали уже антивирусом, сканерами Cureit или KVRT, добавьте, пожалуйста, логи сканирования. Лучше в архиве.

safety

safety

Опубликовано
Опубликовано

Cureit ничего не нашел, возможно шифровальщик самоудалился.

There are no infected objects detected

 

К сожалению, по данному типу шифровальщика не сможем вам помочь с расшифровкрй без приватного ключа.

 

по логу FRST:

уточните, пожалуйста, это легальные приложения в автозапуске?

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

Бека-Алматы

Бека-Алматы

Опубликовано
  • Автор
Опубликовано

нет

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

подскажите что делать или есть варианты? у меня тут 1с база уствновлен 

safety

safety

Опубликовано
Опубликовано

по очистке системы в FRST выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

safety

safety

Опубликовано
Опубликовано (изменено)

winamp.exe, другое имя Elevator.exe -  банковский троян.

https://www.virustotal.com/gui/file/5d7639942a4e285ba985fbf6c9f34b7fdfc7ea7119921cbdebf8509dc6fa09a0/detection

ДрВеб его, к сожалению, не детектирует, потому и не нашелся троян при сканировании Cureit

Изменено пользователем safety
Бека-Алматы

Бека-Алматы

Опубликовано
  • Автор
Опубликовано (изменено)

удалена ссылка

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
45 минут назад, Бека-Алматы сказал:

удалена ссылка

на архив надо ставить пароль, так как в карантин попадают вредоносные объекты

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

Изменено пользователем safety
Бека-Алматы

Бека-Алматы

Опубликовано
  • Автор
Опубликовано

хорошо 

Только что, safety сказал:

на архив надо ставить пароль

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

хорошо

safety

safety

Опубликовано
Опубликовано (изменено)

выполните очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\PICTURES\STARTMENUEXPERIENCE.EXE
addsgn 1B57B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/Agent.QA 7

zoo %SystemDrive%\USERS\USER\PICTURES\WINAMP.EXE
addsgn 1B77B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/ClipBanker.BT [ESET-NOD32] 7

chklst
delvir

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

архив CZOO****.7z из  папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • DAV
      программа вымогатель
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
×
×
  • Создать...