Перейти к содержанию

Рекомендуемые сообщения

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-09-21] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-21 09:55 - 2024-09-21 09:55 - 000000967 _____ C:\Users\Зейнаб\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-21 09:50 - 2024-09-21 09:53 - 000000967 _____ C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:55 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:49 - 000000000 ____D C:\temp
2024-09-21 10:07 - 2022-08-25 15:15 - 000000000 __SHD C:\Users\Зейнаб\AppData\Local\BFB39C3B-80E3-D2AA-3AB8-6CBE04FD21C7
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Для ПК с подключением к зашифрованному серверу риска нет, так как процесс шифрования завершен. Обычно злоумышленники запускают консоль с шифрованием, где автоматически могут быть добавлены (некоторые вручную исключены) доступные по сети устройства и шары. После запуска консоли запускается общий процесс шифрования всех добавленных устройств. Либо он полностью завершается, либо останавливается по разным причинам. Другое дело, что злоумышленники если получили доступ в локальную сеть, могут еще некоторое время в ней находиться, и запустить новые процессы шифрования.

 

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

 

теперь, когда были зашифрованы ваши данные, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
28 минут назад, safety сказал:

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

Если честно даже не в курсе, что это за задача.

Ссылка на сообщение
Поделиться на другие сайты

Сделайте, пожалуйста, проверку этого файла на virustotal.com

C:\Users\Dom\19e4adb2ae\Hkbsse.exe

и дайте ссылку здесь на результат проверки

Возможно, что файл является вредоносным

Ссылка на сообщение
Поделиться на другие сайты

 

Цитата

 

Если это стилер, значит  пароли с подключением к серверу могли утечь.

 

ESET-NOD32 A Variant Of Win32/TrojanDownloader.Ama

Kaspersky HEUR:Trojan-Spy.Win32.Stealer.gen

---------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
Task: {D1017410-ACEB-4159-BC00-387FE5D21F96} - System32\Tasks\Hkbsse => C:\Users\Dom\19e4adb2ae\Hkbsse.exe [444928 2024-08-15] () [Файл не подписан]
2024-08-31 04:42 - 2024-09-21 05:10 - 000000240 _____ C:\Windows\Tasks\Hkbsse.job
2024-08-31 04:42 - 2024-08-31 04:42 - 000002924 _____ C:\Windows\system32\Tasks\Hkbsse
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Roaming\8cadd6e0860cae
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Local\PeerDistRepub
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\19e4adb2ae
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

Ссылка на сообщение
Поделиться на другие сайты

Hkbsse.exe - A Variant Of Win32/TrojanDownloader.Amadey/HEUR:Trojan-Spy.Win32.Stealer.gen

clip64.vdll - A Variant Of Win32/ClipBanker.SJ

cred64.dll - A Variant Of Win64/PSW.Agent.CW/HEUR:Trojan-PSW.Win32.Convagent.gen

 

Очистка завершена.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...