Перейти к содержанию

Помощь в борьбе с шифровальщиками-вымогателями


Рекомендуемые сообщения

Цитата

 

C:\Users\Администратор.FILESV\Desktop\Stub.exe

C:\Users\Администратор.FILESV\Documents\LoginParser.exe

C:\Users\Администратор.FILESV\Documents\AIMP2.exe

 

все три файла проверьте на virustotal.com и пришлите ссылки на результат анализа

Ссылка на сообщение
Поделиться на другие сайты

@Melor,

по ссылкам у вас загружены для проверки зашифрованные файлы. 

 

Вас просили проверить эти три файла на Virustotal.com,

Цитата

 

C:\Users\Администратор.FILESV\Desktop\Stub.exe

C:\Users\Администратор.FILESV\Documents\LoginParser.exe

C:\Users\Администратор.FILESV\Documents\AIMP2.exe

 

 

и дать ссылки на результат их проверки.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, safety сказал:

@Melor,

по ссылкам у вас загружены для проверки зашифрованные файлы. 

 

Вас просили проверить эти три файла на Virustotal.com,

 

и дать ссылки на результат их проверки.

Виноват.

https://www.virustotal.com/gui/file/6042062aa73c5a8b47fa188661c3c0fa9fd7f56fe6bce85fef698d9bbe96cb9b

https://www.virustotal.com/gui/file/10c0dd2878bd0ab9732cd593febf61d94bb2b798bf0aa1c8fa45ddf8c7092cbc

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c

Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, safety сказал:

Спасибо.

1.Win64/HackTool.BruteForce.B

2. HackTool.LoginParse

3. сэмпл шифровальщика. HEUR:Trojan-Ransom.Win32.Generic

Если способ востоновить файлы после данного вируса?

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Melor сказал:

Если способ востоновить файлы после данного вируса?

проверил файл из архива

это сэмпл шифровальщика для *Datablack

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c/community

 

Расшифровки по данному типу шифровальщика к сожалению невозможен без приватного ключа.

Можем помочь только с очисткой системы.

 

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, safety сказал:

проверил файл из архива

это сэмпл шифровальщика для *Datablack

https://www.virustotal.com/gui/file/9c6f65782fc31a6f57285259cf881af9ec5a63d34daae86912940c99aa73e14c/community

 

Расшифровки по данному типу шифровальщика к сожалению невозможен без приватного ключа.

Можем помочь только с очисткой системы.

 

Очень жаль, спасибо.

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы  в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
Startup: C:\Users\Администратор.FILESV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\18C3CABC5D6AC4ACB7041DE4453ACE15.rar [2024-08-13] () [Файл не подписан]
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Downloads\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Documents\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\Desktop\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\AppData\Roaming\Microsoft\Windows\Start Menu\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\AppData\Local\#Recovery.txt
2024-08-10 22:22 - 2024-08-10 22:22 - 000000460 _____ C:\Users\Администратор.FILESV\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Downloads\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Documents\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\Desktop\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\Users\Public\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#Recovery.txt
2024-08-10 22:21 - 2024-08-10 22:21 - 000000460 _____ C:\ProgramData\#Recovery.txt
2024-08-10 22:14 - 2024-08-10 22:14 - 000000460 _____ C:\Program Files (x86)\#Recovery.txt
2024-08-10 22:06 - 2024-08-10 22:06 - 000000460 _____ C:\Program Files\#Recovery.txt
2024-08-10 22:03 - 2024-08-10 22:03 - 000000460 _____ C:\Users\#Recovery.txt
2024-08-10 22:03 - 2024-08-10 22:03 - 000000460 _____ C:\#Recovery.txt
2024-08-10 22:01 - 2024-06-22 22:11 - 001252864 _____ C:\Users\Администратор.FILESV\Desktop\Stub.exe
2024-08-10 21:52 - 2019-07-03 05:09 - 000008704 ____N () C:\Users\Администратор.FILESV\Documents\LoginParser.exe
2024-08-10 21:49 - 2018-02-25 03:12 - 011309568 _____ C:\Users\Администратор.FILESV\Documents\AIMP2.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Bandersnatch
      От Bandersnatch
      Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 
      Addition.txt Desktop.rar FRST.txt
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • energetic
      От energetic
      Вирус шифровальщик работает с помощью mimikatz делают dump и достают хеш паролей или в открытом виде, коннектятся к серверам выдают привилегии повышенные, файл в startup вкладку в главном меню. ПОсле перезагрузки шифрует. Если у кого то есть возможность помочь расшифровать буду благодарен.
      #ZENEX-Help.txt 1.txt.[prodecrypter@aol.com].ZENEX.zip
    • Rasa
      От Rasa
      Поймала через уязвимого пользователя по RDP

      Onlgpy6awc.zip
    • Vital888
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...