Перейти к содержанию

Поймала шифровальщика, как восстановить файлы?

kseninon
 Поделиться

Рекомендуемые сообщения

kseninon

kseninon

Опубликовано
Опубликовано

Добрый день, 

 

Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen

 

Что можно сделать? Помогите, пожалуйста.

hzRYnHDoB.README.txt

safety

safety

Опубликовано
Опубликовано

Ветка по шифровальщикам в соседнем разделе помощи.

 

Добавьте пожалуйста, логи FRST из зашифрованной системы

+

добавьте несколько зашифрованных файлов в архиве без пароля

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
"C:\Users\Julia\AppData\Local\Programs\ivanovsasha224\956af29a67.msi" /quiet CHROME=1
Task: {31D6EC4D-D792-41C3-9ACC-520FB69326FA} - System32\Tasks\LMPrMqgKgFKcBWb => C:\Users\Julia\AppData\Roaming\LMPrMqgKgFKcBWb.exe  (Нет файла) <==== ВНИМАНИЕ
Edge Notifications: Default -> hxxps://turboobit.com
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419"
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2023-10-16] [UpdateUrl:hxxps://clients96.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (Google Access Offline) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hbiichfklkmlebacdfhkojcpmmakmamk [2024-07-29] [UpdateUrl:hxxps://clients97.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (X-finder.pro) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-04-29]
FF Plugin HKU\S-1-5-21-197131712-1902982336-849941437-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Julia\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [Нет файла]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR Extension: (Google Sheets Offline) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\gimgggabfigedfmidfhmgaaccgefdfnj [2024-07-11] [UpdateUrl:hxxps://clients11.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2023-05-02] [UpdateUrl:hxxps://clients68.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbbidhfplpegemhlbcfboalcjdmgebap]
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\Julia\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2023-05-19]
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\LocalLow\hzRYnHDoB.README.txt
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Local\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Roaming\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Documents\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Desktop\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Downloads\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\hzRYnHDoB.README.txt
2024-07-25 18:33 - 2024-07-01 18:27 - 000000000 ____D C:\Program Files (x86)\lYRyXqLCtqUn
2023-06-08 23:41 C:\Program Files\RDP Wrapper
2023-06-08 23:41 C:\Program Files (x86)\360
2023-06-08 23:41 C:\ProgramData\RDP Wrapper
2023-06-08 23:41 C:\ProgramData\ReaItekHD
2023-06-08 23:41 C:\ProgramData\Setup
2023-06-08 23:41 C:\ProgramData\Windows Tasks Service
2023-06-08 23:41 C:\ProgramData\WindowsTask
FirewallRules: [{EA968E3F-72D4-4C07-B8E0-C98B598E918A}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{D66E25D6-A2CC-4EF8-9C78-D151A2A62960}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{2750519B-0C9E-443F-BD07-0FCDF89D6587}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Нет файла
FirewallRules: [{AC61B332-C178-4C41-9DC5-963671B09933}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯敜娷捓攮數 => Нет файла
FirewallRules: [{953EF149-FE9A-419A-9173-3F58BBAE9266}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D404B084-0573-4320-988E-C73596482BA2}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{A8C3EDEC-7FFA-4184-8B44-926BF4C70AB1}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯剜䅄⹖硥e => Нет файла  
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBBIDHFPLPEGEMHLBCFBOALCJDMGEBAP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\LMPRMQGKGFKCBWB.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\TALK-ME\NW.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCAL\PROGRAMS\IVANOVSASHA224\956AF29A67.MSI
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Николаевич
      Зашифровали Lockbit.HA!MTB
      Автор Владислав Николаевич
      Сервер и все физические тачки зашифрованы.
      Нигде на просторах интернета не нашел дешифратор.
      На всех устройствах стоял Kaspersky Endpoint Security, но что-то пошло не так.
      В архиве текстовик с телеграммом вредителя и пример файлов, которые зашифрованы.
      Друзья, хелп)
      Crypt.rar
    • Алексейtime
      Вирус шифровальщик 21.12.2025
      Автор Алексейtime
      Доброе время суток, сегодня обнаружил что всё зашифровано, проверили cureit ничего не обнаружил, от слова ничего. Файлы зашифрованы и конечно же письмо ниже. Подскажите есть смысл с этим бороться или можно всё похоронить? Один из файлов прикрепил

                                                     YOUR FILES HAVE BEEN ENCRYPTED!
      Hello. All of your files have been encrypted by ransomware. Your important documents, photos, and databases are no longer accessible.
      We have used strong encryption algorithms that cannot be broken. Do not try to recover the files yourself or use third-party tools. This will only lead to permanent data loss. The only way to get your files back is to pay the ransom.
      To restore your data, you must send a payment in Bitcoin
      You have 24 hours to make the payment. If you do not pay within this timeframe, the price will double. If you ignore this message for 7 days, your files will be deleted forever.
      To buy Bitcoin and send it, you would typically:
      Search online for instructions on how to buy Bitcoin.
      Follow instructions on a cryptocurrency exchange platform.
      Send the specified amount to the provided address.
      After sending the payment, you might be instructed to send a unique ID to an email address to receive a decryption key.
      Your Unique ID: ***
      Email: chunwen@atomicmail.io
      Jabber : chunwen@xmpp.jp
      How to use it? (for newbie)
      Sign up
      https://www.xmpp.jp/signup
      press https://www.xmpp.jp/client/
      Press add a contact in a left side
      XMPP ADRESS
      and add my jabber chunwen@xmpp.jp and press add
      Write me a message with your Unique ID
      IT IS FAST AND ANONYMOUS!
      The message would often state that the intention is solely financial and that once payment is confirmed, a decryption tool would be provided, with no further contact.
       
      amuhUv4.rar
    • avkor66
      Шифровальщик с расширением .SanxK6eaA
      Автор avkor66
      Доброго дня всем форумчанам!
       
      Настигла беда, поймали шифровальщик на рабочий сервер, зашифровал все текстовые документы, изображения, базы данных 1С и прочее, все файлы с расширением ".SanxK6eaA"
      Пршлись по каждой папке, в каждой папке оставили файл с информацией о выкупе "SanxK6eaA.README.txt" с просьбой связаться по электронному адресу: mrbroock@msgsafe.io 
      Просят 1000$ и дают непонятные гарантии.
      Kaspersky Internet Security нашел один вирус: "HEUR:Trojan.Multi.Runner.y"  не знаю, относится он к шифровальщикам или нет, не знаю.
       
      Сориентируйте пожалуйста по дальнейшим действиям
      В приложении файлы зашифрованные, незашифрованные, требования, логи.
      Заранее спасибо.
      virus.zip
    • ростислав88
      Файлы зашифрованы Trojan.Encoder.31074 (Lockbit 3)
      Автор ростислав88
      Зашифровали файлы на 10 компах. Данные пока такие, попробую собрать больше попой же. 
      Текст требования
       
      И несколько зараженный файлов  в архиве.
       
      Desktop.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      Автор Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
×
×
  • Создать...