phobos Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep

20 сентября, 2024

Добрый день!

Найден шифровальщик

зашифровал файлы под именем имя_файла.id[00F2B780-3351].[qqtiq@tuta.io]

примеры зашифрованных файлов.rar с файлом info.txt

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь!

примеры зашифрованных файлов.rar

20 сентября, 2024

FRST-Addition.rar

20 сентября, 2024

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\sysadmin\AppData\Local\Fast.exe <2>
HKLM\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3315746679-2371734878-1424945386-1024\...\Run: [Fast] => C:\Users\sysadmin\AppData\Local\Fast.exe [57344 2024-01-17] () [Файл не подписан]
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe [2024-01-17] () [Файл не подписан]
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\sysadmin\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000005518 _____ C:\Users\Public\Desktop\info.hta
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\sysadmin\Desktop\info.txt
2024-09-03 21:13 - 2024-09-20 11:26 - 000000160 _____ C:\Users\Public\Desktop\info.txt
2024-09-03 21:13 - 2024-09-03 21:13 - 000005518 _____ C:\info.hta
2024-09-03 21:13 - 2024-09-03 21:13 - 000000160 _____ C:\info.txt
2024-09-03 18:31 - 2024-09-03 21:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 21:04 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-03 18:31 - 2024-09-03 18:31 - 000000000 ____D C:\Users\sysadmin\AppData\Roaming\Process Hacker 2
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ () C:\Users\sysadmin\AppData\Local\Fast.exe
2024-09-03 18:30 - 2024-01-17 13:59 - 000057344 _____ C:\Users\sysadmin\AppData\Local\Fast.exe

Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 20 сентября, 2024 пользователем safety

20 сентября, 2024

14 часов назад, safety сказал:

Выполните скрипт очистки в FRST

Как выполнить скрипт очистки ?

Fixlog.txt

Изменено 21 сентября, 2024 пользователем safety

21 сентября, 2024

10 часов назад, Justbox сказал:

Как выполнить скрипт очистки ?

Так понимаю, скрипт выполнен, если появился карантин.

Судя по логу Fixlog.txt очистка прошла успешно.

По расшифровке файлов не сможем помочь по данному типу шифровальщика без приватного ключа.

сэмпл шифровальщика давно детектируется антивирусами, если установлены антивирусы, проверяем обновляет ли он базы или нет.

ESET-NOD32 A Variant Of Win32/Filecoder.Phobos.C

Kaspersky HEUR:Trojan-Ransom.Win32.Phobos.vho

DrWeb Trojan.Encoder.31543

https://www.virustotal.com/gui/file/d5a94f0476a1eb6f37e8e9004673d5845dfec0c74792170056703cae7f925dba

+

проверьте ЛС

Изменено 21 сентября, 2024 пользователем safety

phobos Шифровальщик id[00F2B780-3351].[qqtiq@tuta.io].deep

Рекомендуемые сообщения

Justbox

Justbox

safety

Justbox

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum