Перейти к содержанию

Поймала шифровальщика, как восстановить файлы?

kseninon
 Share

Рекомендуемые сообщения

kseninon Новичок

kseninon

Опубликовано
Опубликовано

Добрый день, 

 

Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen

 

Что можно сделать? Помогите, пожалуйста.

hzRYnHDoB.README.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Ветка по шифровальщикам в соседнем разделе помощи.

 

Добавьте пожалуйста, логи FRST из зашифрованной системы

+

добавьте несколько зашифрованных файлов в архиве без пароля

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
"C:\Users\Julia\AppData\Local\Programs\ivanovsasha224\956af29a67.msi" /quiet CHROME=1
Task: {31D6EC4D-D792-41C3-9ACC-520FB69326FA} - System32\Tasks\LMPrMqgKgFKcBWb => C:\Users\Julia\AppData\Roaming\LMPrMqgKgFKcBWb.exe  (Нет файла) <==== ВНИМАНИЕ
Edge Notifications: Default -> hxxps://turboobit.com
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419"
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2023-10-16] [UpdateUrl:hxxps://clients96.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (Google Access Offline) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hbiichfklkmlebacdfhkojcpmmakmamk [2024-07-29] [UpdateUrl:hxxps://clients97.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge Extension: (X-finder.pro) - C:\Users\Julia\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-04-29]
FF Plugin HKU\S-1-5-21-197131712-1902982336-849941437-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Julia\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [Нет файла]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR Extension: (Google Sheets Offline) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\gimgggabfigedfmidfhmgaaccgefdfnj [2024-07-11] [UpdateUrl:hxxps://clients11.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2023-05-02] [UpdateUrl:hxxps://clients68.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbbidhfplpegemhlbcfboalcjdmgebap]
CHR HKU\S-1-5-21-197131712-1902982336-849941437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\Julia\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2023-05-19]
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\LocalLow\hzRYnHDoB.README.txt
2024-08-10 23:28 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Local\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\Roaming\hzRYnHDoB.README.txt
2024-08-10 23:25 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\AppData\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Documents\hzRYnHDoB.README.txt
2024-08-10 23:22 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Desktop\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\Julia\Downloads\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\Users\hzRYnHDoB.README.txt
2024-08-10 23:15 - 2024-08-10 23:15 - 000000687 _____ C:\hzRYnHDoB.README.txt
2024-07-25 18:33 - 2024-07-01 18:27 - 000000000 ____D C:\Program Files (x86)\lYRyXqLCtqUn
2023-06-08 23:41 C:\Program Files\RDP Wrapper
2023-06-08 23:41 C:\Program Files (x86)\360
2023-06-08 23:41 C:\ProgramData\RDP Wrapper
2023-06-08 23:41 C:\ProgramData\ReaItekHD
2023-06-08 23:41 C:\ProgramData\Setup
2023-06-08 23:41 C:\ProgramData\Windows Tasks Service
2023-06-08 23:41 C:\ProgramData\WindowsTask
FirewallRules: [{EA968E3F-72D4-4C07-B8E0-C98B598E918A}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{D66E25D6-A2CC-4EF8-9C78-D151A2A62960}] => (Allow) C:\Users\Julia\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{2750519B-0C9E-443F-BD07-0FCDF89D6587}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Нет файла
FirewallRules: [{AC61B332-C178-4C41-9DC5-963671B09933}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯敜娷捓攮數 => Нет файла
FirewallRules: [{953EF149-FE9A-419A-9173-3F58BBAE9266}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D404B084-0573-4320-988E-C73596482BA2}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{A8C3EDEC-7FFA-4184-8B44-926BF4C70AB1}] => (Allow) 㩃啜敳獲䩜汵慩䅜灰慄慴剜慯業杮瑜捯剜䅄⹖硥e => Нет файла  
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBBIDHFPLPEGEMHLBCFBOALCJDMGEBAP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\LMPRMQGKGFKCBWB.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\TALK-ME\NW.EXE
delall %SystemDrive%\USERS\JULIA\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delall %SystemDrive%\USERS\JULIA\APPDATA\LOCAL\PROGRAMS\IVANOVSASHA224\956AF29A67.MSI
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Хорошо, очистку системы выполнили, рекомендации добавили,

в самом главном, в расшифровке файлов, по данному типу шифровальщика, к сожалению, не можем помочь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...