Перейти к содержанию

Поймала шифровальщика, как восстановить файлы?

kseninon
 Share

Рекомендуемые сообщения

kseninon Новичок

kseninon

Опубликовано
Опубликовано

Добрый день, 

 

Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen

 

Что можно сделать? Помогите, пожалуйста.

hzRYnHDoB.README.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Ветка по шифровальщикам в соседнем разделе помощи.

 

Добавьте пожалуйста, логи FRST из зашифрованной системы

+

добавьте несколько зашифрованных файлов в архиве без пароля

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
"C:\Users\Julia\AppData\Local\Programs\ivanovsasha224\956af29a67.msi" /quiet CHROME=1
Task: {31D6EC4D-D792-41C3-9ACC-520FB69326FA} - System32\Tasks\LMPrMqgKgFKcBWb => C:\Users\Julia\AppData\Roaming\LMPrMqgKgFKcBWb.exe  (Нет файла) <==== ВНИМАНИЕ
Edge Notifications: Default -> hxxps://turboobit.com
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419"
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2023-10-16] [UpdateUrl:hxxps://clients96.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (Google Access Offline) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hbiichfklkmlebacdfhkojcpmmakmamk [2024-07-29] [UpdateUrl:hxxps://clients97.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (X-finder.pro) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-04-29]
FF Plugin HKU\S-1-5-21-197131712-1902982336-849941437-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Julia\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [Нет файла]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR Extension: (Google Sheets Offline) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\gimgggabfigedfmidfhmgaaccgefdfnj [2024-07-11] [UpdateUrl:hxxps://clients11.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2023-05-02] [UpdateUrl:hxxps://clients68.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbbidhfplpegemhlbcfboalcjdmgebap]
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\Julia\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2023-05-19]
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\LocalLow\hzRYnHDoB.README.txt
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Local\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Roaming\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Documents\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Desktop\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Downloads\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\hzRYnHDoB.README.txt
2024-07-25 18:33 - 2024-07-01 18:27 - 000000000 ____D C:\Program Files (x86)\lYRyXqLCtqUn
2023-06-08 23:41 C:\Program Files\RDP Wrapper
2023-06-08 23:41 C:\Program Files (x86)\360
2023-06-08 23:41 C:\ProgramData\RDP Wrapper
2023-06-08 23:41 C:\ProgramData\ReaItekHD
2023-06-08 23:41 C:\ProgramData\Setup
2023-06-08 23:41 C:\ProgramData\Windows Tasks Service
2023-06-08 23:41 C:\ProgramData\WindowsTask
FirewallRules: [{EA968E3F-72D4-4C07-B8E0-C98B598E918A}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{D66E25D6-A2CC-4EF8-9C78-D151A2A62960}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{2750519B-0C9E-443F-BD07-0FCDF89D6587}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Нет файла
FirewallRules: [{AC61B332-C178-4C41-9DC5-963671B09933}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯敜娷捓攮數 => Нет файла
FirewallRules: [{953EF149-FE9A-419A-9173-3F58BBAE9266}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D404B084-0573-4320-988E-C73596482BA2}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{A8C3EDEC-7FFA-4184-8B44-926BF4C70AB1}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯剜䅄⹖硥e => Нет файла  
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBBIDHFPLPEGEMHLBCFBOALCJDMGEBAP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\LMPRMQGKGFKCBWB.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\TALK-ME\NW.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCAL\PROGRAMS\IVANOVSASHA224\956AF29A67.MSI
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Хорошо, очистку системы выполнили, рекомендации добавили,

в самом главном, в расшифровке файлов, по данному типу шифровальщика, к сожалению, не можем помочь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • DanGer50143
      Поймал шифровальщик, заблокированы файлы
      От DanGer50143
      Собрал образ, как в других обсуждениях. 
      Также прикрепил файл вымогатель😔
       
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...